| Category | Started On | Completed On | Duration | Cuckoo Version |
|---|---|---|---|---|
| FILE | 2015-03-25 21:22:02 | 2015-03-25 21:24:55 | 173 seconds | 1.3-dev |
| Machine | Label | Manager | Started On | Shutdown On |
|---|---|---|---|---|
| windows | Cuckoo | VirtualBox | 2015-03-25 21:22:03 | 2015-03-25 21:24:53 |
| File name | 555.exe | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| File size | 1831936 bytes | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| File type | PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CRC32 | 733A3CAC | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| MD5 | f9bb8bd33f4948bef62e95d8e2c500d4 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| SHA1 | 237f8ca4f67f4b63586e21c51848eb1b841676b1 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| SHA256 | 19480e0baebe1b516e5c26a023f3832370682968d1f452ff774bfa86b602a493 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| SHA512 | ed51da4d21a0dc9551f43ceb821c8af53214e5834c3f8311e31b8ffa7a42d43d7fd35aba61ac22100713b8316e12e72b41ad46b5e54d8f6ce50a41de34a8e456 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Ssdeep | 49152:PYqdfmVaHjiEYJ1S2cUDbylZw77LQ0soN:PtfpGRJ1SxYGw | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| PEiD | None matched | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Yara | None matched | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| VirusTotal |
Permalink VirusTotal Scan Date: 2015-03-24 13:59:28 Detection Rate: 34/56 (Expand)
|
| IP Address |
|---|
| 146.66.152.10 |
| 146.66.152.11 |
| 146.66.152.12 |
| 146.66.152.13 |
| 146.66.152.14 |
| 146.66.152.15 |
| 184.25.63.34 |
| 198.58.80.160 |
| 208.64.200.137 |
| 208.64.200.201 |
| 208.64.200.202 |
| 208.64.200.203 |
| 208.64.200.204 |
| 208.64.200.205 |
| 208.64.201.169 |
| 208.64.201.176 |
| 208.78.164.10 |
| 208.78.164.12 |
| 208.78.164.14 |
| 208.78.164.9 |
| 23.201.61.210 |
| 50.242.151.22 |
| 63.245.215.95 |
| 64.86.135.181 |
| 72.165.61.174 |
| 72.165.61.175 |
| 72.165.61.185 |
| 72.165.61.186 |
| 72.165.61.187 |
| 72.165.61.188 |
| 8.8.8.8 |
| 81.171.115.34 |
| 81.171.115.35 |
| 81.171.115.36 |
| 81.171.115.37 |
| Domain | IP Address |
|---|---|
| net2110estcarina.com | 198.58.80.160 |
| dns.msftncsi.com | 131.107.255.255 |
| client-download.steampowered.com | 205.196.6.132 |
| api.steampowered.com | 208.64.202.85 |
| fhr.data.mozilla.com | 63.245.215.95 |
| URL | Data |
|---|---|
| http://client-download.steampowered.com/client/steam_client_win32 | GET /client/steam_client_win32 HTTP/1.1 User-Agent: Valve/Steam HTTP Client 1.0 (client;windows;10;1427176184) If-Modified-Since: Tue, 24 Mar 2015 20:56:43 GMT Host: client-download.steampowered.com Accept: text/html,*/*;q=0.9 Accept-Encoding: gzip,identity,*;q=0 Accept-Charset: ISO-8859-1,utf-8,*;q=0.7 Connection: keep-alive |
registry filesystem process services network synchronization
| Timestamp | Thread | Function | Arguments | Status | Return | Repeated |
|---|---|---|---|---|---|---|
| 23:22:04,174 | 2608 | NtOpenDirectoryObject |
DirectoryHandle => 0x00000070 DesiredAccess => 15 ObjectAttributes => C:\Sessions\1\BaseNamedObjects |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrLoadDll |
Flags => 1702396 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyExW FunctionAddress => 0x7656bec4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegOpenKeyExW |
Handle => 0x00000074 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework\Policy\ |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryInfoKeyW FunctionAddress => 0x7656bb42 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 0 ValueCount => 0 MaxSubKeyLength => 9 KeyHandle => 0x00000074 SubKeyCount => 5 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegEnumKeyExW FunctionAddress => 0x7656bb65 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegEnumKeyExW |
Index => 4 Handle => 0x00000074 Name => v4.0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegEnumKeyExW |
Index => 3 Handle => 0x00000074 Name => v2.0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegEnumKeyExW |
Index => 2 Handle => 0x00000074 Name => Upgrades Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegEnumKeyExW |
Index => 1 Handle => 0x00000074 Name => Standards Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegEnumKeyExW |
Index => 0 Handle => 0x00000074 Name => AppPatch Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x00000074 SubKey => v4.0 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 24 MaxValueNameLength => 5 ValueCount => 1 MaxSubKeyLength => 0 KeyHandle => 0x00000078 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegEnumValueW FunctionAddress => 0x7656bb72 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegEnumValueW |
Index => 0 Handle => 0x00000078 Data => 3\x000\x003\x001\x009\x00-\x003\x000\x003\x001\x009\x00\x00\x00 ValueName => 30319 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegCloseKey FunctionAddress => 0x7656bed4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueExW FunctionAddress => 0x7656bcd5 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000078 DataLength => 72 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueExW FunctionAddress => 0x7656bcd5 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000078 Data => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00N\x00E\x00T\x00\\x00F\x00r\x00a\x00m\x00e\x00w\x00o\x00r\x00k\x00\\x00\x00\x00 ValueName => InstallRoot |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll |
SUCCESS | 0x0021a950 | |
| 23:22:04,174 | 2608 | RegCloseKey |
Handle => 0x00000074 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegOpenKeyExW |
Handle => 0x00000074 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000074 DataLength => 72 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000074 Data => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00N\x00E\x00T\x00\\x00F\x00r\x00a\x00m\x00e\x00w\x00o\x00r\x00k\x00\\x00\x00\x00 ValueName => InstallRoot |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegCloseKey |
Handle => 0x00000074 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll |
SUCCESS | 0x0021a950 | |
| 23:22:04,174 | 2608 | RegOpenKeyExW |
Handle => 0x00000074 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000074 DataLength => 72 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000074 Data => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00N\x00E\x00T\x00\\x00F\x00r\x00a\x00m\x00e\x00w\x00o\x00r\x00k\x00\\x00\x00\x00 ValueName => InstallRoot |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegCloseKey |
Handle => 0x00000074 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrLoadDll |
Flags => 1702152 BaseAddress => 0x674c0000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegisterShimImplCallback FunctionAddress => 0x674c6975 ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegisterShimImplCleanupCallback FunctionAddress => 0x67627eb0 ModuleHandle => 0x674c0000 |
FAILURE | 0xc0000139 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetShellShimInstance FunctionAddress => 0x6762c90c ModuleHandle => 0x674c0000 |
FAILURE | 0xc0000139 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OnShimDllMainCalled FunctionAddress => 0x674c43ef ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => _CorExeMain_RetAddr FunctionAddress => 0x6762c964 ModuleHandle => 0x674c0000 |
FAILURE | 0xc0000139 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => _CorExeMain FunctionAddress => 0x674c5573 ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000078 DataLength => 72 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000078 Data => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00N\x00E\x00T\x00\\x00F\x00r\x00a\x00m\x00e\x00w\x00o\x00r\x00k\x00\\x00\x00\x00 ValueName => InstallRoot |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.NET\Framework\\* |
SUCCESS | 0x0021a950 | |
| 23:22:04,174 | 2608 | NtQueryDirectoryFile |
FileName => FileHandle => 0x00000078 FileInformation => h\x00\x00\x00\x00\x00\x00\x00\xe0R\xbd\xfa+\x04\xca\x01@\xf8=k\x18g\xd0\x01\xa0o\x90M\x96f\xd0\x01\xa0o\x90M\x96f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.\x00.\x00d\x00m\x00i\x00\x80\x00\x00\x00\x00\x00\x00\x00F2\x10\xf6\xfa\x03\xca\x01F2\x10\xf6\xfa\x03\xca\x01\xdc\xbd\x88\x94\x11\xea\xc9\x01\x90\xb2\x99`\xa0\xb2\xcf\x01H7\x01\x00\x00\x00\x00\x00\x00@\x01\x00\x00\x00\x00\x00 \x00\x00\x00\x1c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00N\x00E\x00T\x00F\x00X\x00S\x00B\x00S\x001\x000\x00.\x00e\x00x\x00e\x00\\x00C\x00o\x00\x80\x00\x00\x00\x00\x00\x00\x00s\xf8g\x8e'\x04\xca\x01s\xf8g\x8e'\x04\xca\x01 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v1.0.3705\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v1.0.3705\mscorwks.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v1.1.4322\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v2.0.50727\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | NtQueryDirectoryFile |
FileName => FileHandle => 0x00000078 FileInformation => |
FAILURE | 0x80000006 | |
| 23:22:04,174 | 2608 | LdrLoadDll |
Flags => 1700876 BaseAddress => 0x76730000 FileName => SHLWAPI.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => UrlIsW FunctionAddress => 0x767453e6 ModuleHandle => 0x76730000 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.exe.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,174 | 2608 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000078 DataLength => 4 ValueName => UseLegacyV2RuntimeActivationPolicyDefaultValue Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,174 | 2608 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | RegQueryValueExW |
Handle => 0x00000078 DataLength => 4 ValueName => OnlyUseLatestCLR Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,174 | 2608 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.exe DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | NtQueryInformationFile |
FileHandle => 0x00000078 FileInformation => \x00\x00\x1c\x00\x00\x00\x00\x00\x00\xf4\x1b\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x0000007c FileHandle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,174 | 2608 | ZwMapViewOfSection |
SectionOffset => 0x0019f4e4 SectionHandle => 0x0000007c ProcessHandle => 0xffffffff BaseAddress => 0x01d30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1940 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1940 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1940 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1940 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1940 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1940 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1940 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1940 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,184 | 1000 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1000 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1000 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1000 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1000 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1000 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 1000 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.exe DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | NtQueryInformationFile |
FileHandle => 0x0000007c FileInformation => \x00\x00\x1c\x00\x00\x00\x00\x00\x00\xf4\x1b\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x00000078 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | ZwMapViewOfSection |
SectionOffset => 0x0019f4e4 SectionHandle => 0x00000078 ProcessHandle => 0xffffffff BaseAddress => 0x01d30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\.NETFramework\Policy\Standards |
FAILURE | 0x00000002 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework\Policy\Standards |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x0000007c SubKey => v4.0.30319 |
FAILURE | 0x00000002 | |
| 23:22:04,184 | 2608 | RegCloseKey |
Handle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => SOFTWARE\Microsoft\Fusion |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegQueryValueExW |
Handle => 0x0000007c DataLength => 4 ValueName => NoClientChecks Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,184 | 2608 | RegCloseKey |
Handle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework\v4.0.30319\SKUs\ |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x00000080 Registry => 0x0000007c SubKey => default |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegCloseKey |
Handle => 0x00000080 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegCloseKey |
Handle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | LdrLoadDll |
Flags => 1702580 BaseAddress => 0x65b10000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetRuntimeInfo FunctionAddress => 0x65c7c71d ModuleHandle => 0x65b10000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => _CorExeMain FunctionAddress => 0x65c7aee4 ModuleHandle => 0x65b10000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\.NETFramework |
FAILURE | 0x00000002 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegQueryValueExW |
Handle => 0x0000007c DataLength => 4 ValueName => DisableConfigCache Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,184 | 2608 | RegCloseKey |
Handle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\.NETFramework |
FAILURE | 0x00000002 | |
| 23:22:04,184 | 2608 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegEnumValueW |
Index => 0 Handle => 0x0000007c DataLength => 0 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | RegEnumValueW |
Index => 1 Handle => 0x0000007c DataLength => 0 ValueName => InstallRoot Type => 0 |
FAILURE | 0x00000103 | |
| 23:22:04,184 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetThreadStackGuarantee FunctionAddress => 0x767d5bc1 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EventWrite FunctionAddress => 0x7720f5ab ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EventRegister FunctionAddress => 0x77255a12 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,184 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EventUnregister FunctionAddress => 0x77253614 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,194 | 2608 | NtProtectVirtualMemory |
OldAccessProtection => 0x00000020 NumberOfBytesProtected => 0x00001000 NewAccessProtection => 0x00000040 ProcessHandle => 0xffffffff BaseAddress => 0x65b11000 |
SUCCESS | 0x00000000 | |
| 23:22:04,194 | 2608 | NtProtectVirtualMemory |
OldAccessProtection => 0x00000040 NumberOfBytesProtected => 0x00001000 NewAccessProtection => 0x00000020 ProcessHandle => 0xffffffff BaseAddress => 0x65b11000 |
SUCCESS | 0x00000000 | |
| 23:22:04,194 | 2608 | LdrLoadDll |
Flags => 1700020 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoree.dll |
FAILURE | 0xc0000135 | |
| 23:22:04,194 | 2608 | LdrLoadDll |
Flags => 1701240 BaseAddress => 0x67620000 FileName => mscoree.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,194 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateConfigStream FunctionAddress => 0x67627dd7 ModuleHandle => 0x67620000 |
SUCCESS | 0x00000000 | |
| 23:22:04,194 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateConfigStream_RetAddr FunctionAddress => 0x6762cb5c ModuleHandle => 0x674c0000 |
FAILURE | 0xc0000139 | |
| 23:22:04,194 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateConfigStream FunctionAddress => 0x674c4888 ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,214 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\config\machine.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | NtReadFile |
Buffer => <?xml version="1.0" encoding="UTF-8" ?>
<!--
Please refer to machine.config.comments for a description and
the default values of each configuration section.
For a full documentation of the schema please refer to
http://go.microsoft.c FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | NtReadFile |
Buffer => roup name="system.runtime.caching" type="System.Runtime.Caching.Configuration.CachingSectionGroup, System.Runtime.Caching, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a">
<section name="memoryCache" type="System.Runtime.Cac FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | NtReadFile |
Buffer => />
<section name="routing" type="System.ServiceModel.Routing.Configuration.RoutingSection, System.ServiceModel.Routing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
<section name="tracking" type="System.Se FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | NtReadFile |
Buffer => neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition="MachineToApplication" />
<section name="globalization" type="System.Web.Configuration.GlobalizationSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3 FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | NtReadFile |
Buffer => <section name="siteMap" type="System.Web.Configuration.SiteMapSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition="MachineToApplication" />
<section name="trace" type="System.Web. FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.exe.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,224 | 2608 | LdrLoadDll |
Flags => 1702600 BaseAddress => 0x771f0000 FileName => ntdll |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RtlUnwind FunctionAddress => 0x77218f19 ModuleHandle => 0x771f0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => IsWow64Process FunctionAddress => 0x767d8b45 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | RegOpenKeyExW |
Handle => 0x000000ac Registry => 0x80000002 SubKey => Software\Microsoft\Fusion |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\555.exe |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegOpenKeyExW |
Handle => 0x000000b0 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000b0 DataLength => 520 ValueName => CacheLocation Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegCloseKey |
Handle => 0x000000b0 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetSystemWindowsDirectoryW FunctionAddress => 0x767e0e44 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | RegOpenKeyExW |
Handle => 0x000000b0 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000b0 DataLength => 4 ValueName => DownloadCacheQuotaInKB Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Fusion |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegCloseKey |
Handle => 0x000000b0 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => EnableLog Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => LoggingLevel Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => ForceLog Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => LogFailures Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => LogResourceBinds Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => FileInUseRetryAttempts Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => FileInUseMillisecondsBetweenRetries Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => UseLegacyIdentityFormat Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => DisableMSIPeek Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegCloseKey |
Handle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | RegOpenKeyExW |
Handle => 0x000000ac Registry => 0x80000002 SubKey => Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => DevOverrideEnable Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,224 | 2608 | RegCloseKey |
Handle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AllocateAndInitializeSid FunctionAddress => 0x7656b7dc ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTokenInformation FunctionAddress => 0x7656b7b4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitializeAcl FunctionAddress => 0x7656bafa ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,224 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddAccessAllowedAce FunctionAddress => 0x7656b95e ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FreeSid FunctionAddress => 0x7656b7f4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | NtCreateSection |
ObjectAttributes => C:\Global\Cor_Private_IPCBlock_v4_2604 DesiredAccess => 0x000f0007 SectionHandle => 0x000000b0 FileHandle => 0x00000000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | ZwMapViewOfSection |
SectionOffset => 0x0019f668 SectionHandle => 0x000000b0 ProcessHandle => 0xffffffff BaseAddress => 0x00080000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AllocateAndInitializeSid FunctionAddress => 0x7656b7dc ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTokenInformation FunctionAddress => 0x7656b7b4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitializeAcl FunctionAddress => 0x7656bafa ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddAccessAllowedAce FunctionAddress => 0x7656b95e ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FreeSid FunctionAddress => 0x7656b7f4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddSIDToBoundaryDescriptor FunctionAddress => 0x767c8950 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateBoundaryDescriptorW FunctionAddress => 0x767c891e ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreatePrivateNamespaceW FunctionAddress => 0x767c5c1f ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenPrivateNamespaceW FunctionAddress => 0x767c17d6 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AllocateAndInitializeSid FunctionAddress => 0x7656b7dc ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTokenInformation FunctionAddress => 0x7656b7b4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitializeAcl FunctionAddress => 0x7656bafa ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddAccessAllowedAce FunctionAddress => 0x7656b95e ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FreeSid FunctionAddress => 0x7656b7f4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | NtCreateSection |
ObjectAttributes => C:\Cor_SxSPublic_IPCBlock DesiredAccess => 0x000f0007 SectionHandle => 0x000000b4 FileHandle => 0x00000000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | ZwMapViewOfSection |
SectionOffset => 0x0019f660 SectionHandle => 0x000000b4 ProcessHandle => 0xffffffff BaseAddress => 0x001a0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DeleteBoundaryDescriptor FunctionAddress => 0x77242921 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FlsSetValue FunctionAddress => 0x767e28e4 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FlsGetValue FunctionAddress => 0x767e0da7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FlsAlloc FunctionAddress => 0x767e8711 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FlsFree FunctionAddress => 0x767e2ab7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WerRegisterRuntimeExceptionModule FunctionAddress => 0x76827531 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | NtCreateMutant |
Handle => 0x000000c0 InitialOwner => 0 MutexName => |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x000c0000 BaseAddress => 0x01a90000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RaiseException FunctionAddress => 0x767db69a ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,234 | 2608 | NtCreateMutant |
Handle => 0x000000e8 InitialOwner => 1 MutexName => |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | CreateThread |
ThreadId => 2672 StartRoutine => 0x65c7741c Parameter => 0x00000000 CreationFlags => 4 |
SUCCESS | 0x000000ec | |
| 23:22:04,244 | 2608 | NtResumeThread |
SuspendCount => 1 ThreadHandle => 0x000000ec |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddVectoredExceptionHandler FunctionAddress => 0x771ffdda ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RemoveVectoredExceptionHandler FunctionAddress => 0x77268281 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddVectoredContinueHandler FunctionAddress => 0x772158ad ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RemoveVectoredContinueHandler FunctionAddress => 0x77291c99 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x67620000 FileName => mscoree.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 24 FunctionName => FunctionAddress => 0x67628017 ModuleHandle => 0x67620000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 24 FunctionName => FunctionAddress => 0x674c4470 ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x771f0000 FileName => ntdll.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetSystemFileCacheSize FunctionAddress => 0x768277a6 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NtSetSystemInformation FunctionAddress => 0x77235bd0 ModuleHandle => 0x771f0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PrivIsDllSynchronizationHeld FunctionAddress => 0x65c75ba0 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,244 | 2608 | NtProtectVirtualMemory |
OldAccessProtection => 0x00000020 NumberOfBytesProtected => 0x00002000 NewAccessProtection => 0x00000040 ProcessHandle => 0xffffffff BaseAddress => 0x65b12000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => Kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetWriteWatch FunctionAddress => 0x768279d1 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ResetWriteWatch FunctionAddress => 0x76827a0a ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00480000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => Kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateMemoryResourceNotification FunctionAddress => 0x767d5c5f ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryMemoryResourceNotification FunctionAddress => 0x767ce67f ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | CreateThread |
ThreadId => 2680 StartRoutine => 0x65bc59c0 Parameter => 0x00203480 CreationFlags => 4 |
SUCCESS | 0x00000134 | |
| 23:22:04,244 | 2608 | NtResumeThread |
SuspendCount => 1 ThreadHandle => 0x00000134 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\NativeImagesIndex\v4.0.30319_32 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => 128 ValueName => LatestIndex |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | RegOpenKeyExW |
Handle => 0x0000013c Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\NativeImagesIndex\v4.0.30319_32 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2608 | RegQueryValueExW |
Handle => 0x0000013c Data => 128 ValueName => LatestIndex |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2672 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2672 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2672 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2672 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2672 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2672 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2672 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2672 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 2 times |
| 23:22:04,244 | 2680 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2680 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2680 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2680 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2680 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2680 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,244 | 2680 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,254 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\index80.dat DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000150 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegOpenKeyExW |
Handle => 0x00000154 Registry => 0x0000013c SubKey => index80 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000154 Data => ValueName => NIUsageMask |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000154 Data => ValueName => ILUsageMask |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegCloseKey |
Handle => 0x00000154 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x0000013c SubKey => NI\181938c6\1499ca42 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegEnumKeyExW |
Index => 0 Handle => 0x00000138 Name => 1 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegEnumKeyExW |
Index => 1 Handle => 0x00000138 Name => 1 Class => |
FAILURE | 0x00000103 | |
| 23:22:04,254 | 2608 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x0000013c SubKey => NI\181938c6\1499ca42\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => m\x00s\x00c\x00o\x00r\x00l\x00i\x00b\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x0000013c SubKey => NI\181938c6\1499ca42\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 DataLength => 1024 ValueName => NIDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,254 | 2608 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x0000013c SubKey => IL\1499ca42\653465f8\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => m\x00s\x00c\x00o\x00r\x00l\x00i\x00b\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => 8198 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => n\x00o\x00r\x00m\x00i\x00d\x00n\x00a\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00c\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00d\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00k\x00c\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00k\x00d\x00.\x00n\x00l\x00p\x00\x00\x00 ValueName => Modules |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegCreateKeyExW |
Handle => 0x00000138 Access => 131097 Registry => 0x80000002 Class => SubKey => Software\Microsoft\Fusion\GACChangeNotification\Default |
SUCCESS | 0x00000000 | |
| 23:22:04,254 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => mscorlib,4.0.0.0,,b77a5c561934e089,x86 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | LdrLoadDll |
Flags => 32043572 BaseAddress => 0x765f0000 FileName => rpcrt4.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000154 ObjectAttributes => Software\Microsoft\Rpc |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtQueryValueKey |
Information => 1048576 KeyHandle => 0x00000154 ValueName => MaxRpcSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000164 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\ComputerName\ActiveComputerName |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000164 ValueName => ComputerName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000164 ObjectAttributes => \Registry\Machine\System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000164 ValueName => OOBEInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000164 ObjectAttributes => \Registry\Machine\System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000164 ValueName => SystemSetupInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\Rpc |
FAILURE | 0xc0000034 | |
| 23:22:04,395 | 2680 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:04,395 | 2680 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:04,395 | 2680 | NtCreateThreadEx |
CreateSuspended => 3 ThreadHandle => 0x0000018c ProcessHandle => 0xffffffff StartAddress => 0x7721edfb |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2680 | NtResumeThread |
SuspendCount => 1 ThreadHandle => 0x0000018c |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrLoadDll |
Flags => 1698992 BaseAddress => 0x03fe0000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\246f1a5abb686b9dcdf22d3505b08cea\mscorlib.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrLoadDll |
Flags => 1698976 BaseAddress => 0x76550000 FileName => AdvApi32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptAcquireContextA FunctionAddress => 0x76558c7f ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptAcquireContextW FunctionAddress => 0x7655e5c2 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptReleaseContext FunctionAddress => 0x7655e74c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptCreateHash FunctionAddress => 0x7655e552 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptDestroyHash FunctionAddress => 0x7655e56a ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptHashData FunctionAddress => 0x7655e53a ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetHashParam FunctionAddress => 0x7655e582 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptImportKey FunctionAddress => 0x7655bb52 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptExportKey FunctionAddress => 0x76558c8c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGenKey FunctionAddress => 0x76558ac7 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetKeyParam FunctionAddress => 0x7657dd8b ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptDestroyKey FunctionAddress => 0x7655bb3a ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptVerifySignatureA FunctionAddress => 0x76592290 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptVerifySignatureW FunctionAddress => 0x7655bbc3 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptSignHashA FunctionAddress => 0x76592270 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptSignHashW FunctionAddress => 0x76592280 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetProvParam FunctionAddress => 0x765921e0 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetUserKey FunctionAddress => 0x765921f0 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptEnumProvidersA FunctionAddress => 0x765921a0 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptEnumProvidersW FunctionAddress => 0x765921b0 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Microsoft\StrongName |
FAILURE | 0x00000002 | |
| 23:22:04,395 | 2608 | RegCloseKey |
Handle => 0x0000013c |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_32\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.INI |
SUCCESS | 0xffffffff | |
| 23:22:04,395 | 2608 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a5d0 | |
| 23:22:04,395 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a5d0 | |
| 23:22:04,395 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData |
SUCCESS | 0x0021a5d0 | |
| 23:22:04,395 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local |
SUCCESS | 0x0021a5d0 | |
| 23:22:04,395 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp |
SUCCESS | 0x0021a5d0 | |
| 23:22:04,395 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.exe |
SUCCESS | 0x0021a5d0 | |
| 23:22:04,395 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,395 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryActCtxW FunctionAddress => 0x767d5af8 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetLocaleInfoEx FunctionAddress => 0x767c754c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LocaleNameToLCID FunctionAddress => 0x767d3d72 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | LdrLoadDll |
Flags => 1695768 BaseAddress => 0x71550000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\nlssorting.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SortGetHandle FunctionAddress => 0x7155402e ModuleHandle => 0x71550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SortCloseHandle FunctionAddress => 0x715565c6 ModuleHandle => 0x71550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\SortDefault.nlp DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000150 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x0000013c FileHandle => 0x00000150 |
SUCCESS | 0x00000000 | |
| 23:22:04,405 | 2608 | ZwMapViewOfSection |
SectionOffset => 0x0019df7c SectionHandle => 0x0000013c ProcessHandle => 0xffffffff BaseAddress => 0x04eb0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,415 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:04,415 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CompareStringOrdinal FunctionAddress => 0x767d91a5 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,415 | 2608 | LdrLoadDll |
Flags => 1695000 BaseAddress => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,415 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetLongPathName FunctionAddress => 0x0430ae08 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,415 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetLongPathNameW FunctionAddress => 0x767e41d9 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,415 | 2608 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a5d0 | |
| 23:22:04,415 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a5d0 | |
| 23:22:04,415 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFullPathName FunctionAddress => 0x0430ae18 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,415 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFullPathNameW FunctionAddress => 0x767e19d1 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,415 | 2608 | LdrLoadDll |
Flags => 1700320 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\ole32.dll |
FAILURE | 0xc0000135 | |
| 23:22:04,425 | 2608 | LdrLoadDll |
Flags => 1701540 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,425 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoInitializeEx FunctionAddress => 0x77000804 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,425 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x00000000 FileName => C:\Windows\system32\rpcss.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:04,425 | 2608 | LdrLoadDll |
Flags => 1701136 BaseAddress => 0x75290000 FileName => CRYPTBASE.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,425 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SystemFunction036 FunctionAddress => 0x752912f0 ModuleHandle => 0x75290000 |
SUCCESS | 0x00000000 | |
| 23:22:04,425 | 2608 | NtOpenFile |
ShareAccess => 7 FileName => C:\Device\KsecDD DesiredAccess => 0x00100001 FileHandle => 0x000001c0 |
SUCCESS | 0x00000000 | |
| 23:22:04,425 | 2608 | DeviceIoControl |
DeviceHandle => 0x000001c0 OutBuffer => \x9d\xe6R\x16\x02\xaf\x89Gv\xe1\x10\x12zQ\xac\xa4\xeb\xd5\xa6\x14\x80iC[n\x8e\xb0\x94\xb6\x10G\xfan\xcaj\x15\xae\xa8\xdeQ\xb1H\x1d\xb4\x06\x0f\xa3\x02 IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:04,425 | 2608 | DeviceIoControl |
DeviceHandle => 0x000001c0 OutBuffer => \x93Te%?\xff\xe7\xc1 ~\xc5$\x17U/!\x1bb\x0b--\xe4\xf02\x9ed|\xf3\xf8/\xc5\xdd\x18\x8c"q\xf3\xae\x8ao\x7f\xfa:\xffi\xdd\xf1* IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:04,425 | 2680 | LdrLoadDll |
Flags => 32045752 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,425 | 2680 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetContextToken FunctionAddress => 0x76ff9d0f ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegOpenKeyExW |
Handle => 0x000001cc Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\NativeImagesIndex\v4.0.30319_32 |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegQueryValueExW |
Handle => 0x000001cc Data => 128 ValueName => LatestIndex |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegOpenKeyExW |
Handle => 0x000001d0 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\NativeImagesIndex\v4.0.30319_32 |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegQueryValueExW |
Handle => 0x000001d0 Data => 128 ValueName => LatestIndex |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\index80.dat DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000001d4 |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegOpenKeyExW |
Handle => 0x000001d8 Registry => 0x000001d0 SubKey => index80 |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegQueryValueExW |
Handle => 0x000001d8 Data => ValueName => NIUsageMask |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegQueryValueExW |
Handle => 0x000001d8 Data => ValueName => ILUsageMask |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegCloseKey |
Handle => 0x000001d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegCloseKey |
Handle => 0x000001cc |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001d0 SubKey => NI\635747c0\327b2b3f |
FAILURE | 0x00000002 | 1 time |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.INI |
SUCCESS | 0xffffffff | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.exe |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a710 | |
| 23:22:04,435 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.exe DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000001cc |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | NtQueryInformationFile |
FileHandle => 0x000001cc FileInformation => \x00\x00\x1c\x00\x00\x00\x00\x00\x00\xf4\x1b\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x000001d8 FileHandle => 0x000001cc |
SUCCESS | 0x00000000 | |
| 23:22:04,435 | 2608 | ZwMapViewOfSection |
SectionOffset => 0x0019eff8 SectionHandle => 0x000001d8 ProcessHandle => 0xffffffff BaseAddress => 0x05190000 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | LdrLoadDll |
Flags => 1695140 BaseAddress => 0x66f20000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => sxsJitStartup FunctionAddress => 0x66f692a0 ModuleHandle => 0x66f20000 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => getJit FunctionAddress => 0x66f69388 ModuleHandle => 0x66f20000 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00970000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,445 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserDefaultLocaleName FunctionAddress => 0x7681f753 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000001cc ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Nls\Locale |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000001d8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Nls\Locale\Alternate Sorts |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000001dc ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Nls\Language Groups |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | NtQueryValueKey |
Information => 1\x00\x00\x00 KeyHandle => 0x000001cc ValueName => 00000409 Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | NtQueryValueKey |
Information => 1\x00\x00\x00 KeyHandle => 0x000001dc ValueName => 1 Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LCIDToLocaleName FunctionAddress => 0x767c75de ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserPreferredUILanguages FunctionAddress => 0x767c80a9 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | NtQueryValueKey |
Information => 1\x00\x00\x00 KeyHandle => 0x000001cc ValueName => 00000409 Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,445 | 2608 | NtQueryValueKey |
Information => 1\x00\x00\x00 KeyHandle => 0x000001dc ValueName => 1 Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00c30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00c20000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00b10000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00017000 BaseAddress => 0x00af0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00ae0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00ad0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00ac0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00ab0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x009a0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00990000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00980000 |
SUCCESS | 0x00000000 | |
| 23:22:04,455 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00970000 |
SUCCESS | 0x00000000 | |
| 23:22:04,495 | 2608 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a710 | |
| 23:22:04,495 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a710 | |
| 23:22:04,495 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData |
SUCCESS | 0x0021a710 | |
| 23:22:04,495 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local |
SUCCESS | 0x0021a710 | |
| 23:22:04,495 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp |
SUCCESS | 0x0021a710 | |
| 23:22:04,495 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp\555.exe |
SUCCESS | 0x0021a710 | |
| 23:22:04,495 | 2608 | RegOpenKeyExW |
Handle => 0x000001e4 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\PublisherPolicy\Default |
SUCCESS | 0x00000000 | |
| 23:22:04,495 | 2608 | RegQueryValueExW |
Handle => 0x000001e4 Data => 1 ValueName => Latest |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\assembly\pubpol1.dat DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001e4 Data => ValueName => index1 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001e4 Data => ValueName => LegacyPolicyTimeStamp |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\config\machine.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | NtReadFile |
Buffer => <?xml version="1.0" encoding="UTF-8" ?>
<!--
Please refer to machine.config.comments for a description and
the default values of each configuration section.
For a full documentation of the schema please refer to
http://go.microsoft.c FileHandle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | NtReadFile |
Buffer => roup name="system.runtime.caching" type="System.Runtime.Caching.Configuration.CachingSectionGroup, System.Runtime.Caching, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a">
<section name="memoryCache" type="System.Runtime.Cac FileHandle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | NtReadFile |
Buffer => />
<section name="routing" type="System.ServiceModel.Routing.Configuration.RoutingSection, System.ServiceModel.Routing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
<section name="tracking" type="System.Se FileHandle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | NtReadFile |
Buffer => neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition="MachineToApplication" />
<section name="globalization" type="System.Web.Configuration.GlobalizationSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3 FileHandle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | NtReadFile |
Buffer => <section name="siteMap" type="System.Web.Configuration.SiteMapSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition="MachineToApplication" />
<section name="trace" type="System.Web. FileHandle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Core__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Core__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => NI\7ac727df\4c76d55c |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegEnumKeyExW |
Index => 0 Handle => 0x000001ec Name => 7 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegEnumKeyExW |
Index => 1 Handle => 0x000001ec Name => 7 Class => |
FAILURE | 0x00000103 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => NI\7ac727df\4c76d55c\7 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00C\x00o\x00r\x00e\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => NI\7ac727df\4c76d55c\7 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => NIDependencies |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => IL\62a6b5be\32040726\3 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00S\x00e\x00c\x00u\x00r\x00i\x00t\x00y\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => IL\34f474d5\65246f3f\7 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00X\x00m\x00l\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => IL\77165922\6b6524e6\4 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00N\x00u\x00m\x00e\x00r\x00i\x00c\x00s\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => IL\4c76d55c\14c565de\5 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00C\x00o\x00r\x00e\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => NI\181938c6\1499ca42\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => m\x00s\x00c\x00o\x00r\x00l\x00i\x00b\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => NIDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => IL\1499ca42\653465f8\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => m\x00s\x00c\x00o\x00r\x00l\x00i\x00b\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 8198 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => n\x00o\x00r\x00m\x00i\x00d\x00n\x00a\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00c\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00d\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00k\x00c\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00k\x00d\x00.\x00n\x00l\x00p\x00\x00\x00 ValueName => Modules |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => NI\30bc7c4f\5a99e5cd\8 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => S\x00y\x00s\x00t\x00e\x00m\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => NIDependencies |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => IL\5d94bc56\3b150cef\6 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00C\x00o\x00n\x00f\x00i\x00g\x00u\x00r\x00a\x00t\x00i\x00o\x00n\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x000001ec Registry => 0x000001d0 SubKey => IL\5a99e5cd\6598e7b6\8 |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => S\x00y\x00s\x00t\x00e\x00m\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x000001ec Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegCloseKey |
Handle => 0x000001ec |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Core__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Core__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Core,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Configuration__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Configuration__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Configuration__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Configuration__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Configuration,4.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Xml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Xml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Xml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Xml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,505 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Xml,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:04,515 | 2608 | LdrLoadDll |
Flags => 1686344 BaseAddress => 0x644a0000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\System\964da027ebca3b263a05cadb8eaa20a3\System.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,515 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Security__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:04,515 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Security__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:04,515 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Security__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:04,525 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Security__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:04,525 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Security,4.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:04,525 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Numerics__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,525 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Numerics__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,525 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => v4.0_policy.4.0.System.Numerics__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,525 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e4 SubKey => policy.4.0.System.Numerics__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:04,525 | 2608 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Numerics,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:04,525 | 2608 | LdrLoadDll |
Flags => 1686568 BaseAddress => 0x63de0000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Core\713647b987b140a17e3c4ffe4c721f85\System.Core.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,525 | 2608 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System.Core\v4.0_4.0.0.0__b77a5c561934e089\System.Core.INI |
SUCCESS | 0xffffffff | |
| 23:22:04,525 | 2608 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => SOFTWARE\Microsoft\.NETFramework\Policy\APTCA |
FAILURE | 0x00000002 | |
| 23:22:04,525 | 2608 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\System.INI |
SUCCESS | 0xffffffff | 1 time |
| 23:22:04,555 | 2608 | LdrLoadDll |
Flags => 1694284 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_32\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\bcrypt.dll |
FAILURE | 0xc0000135 | |
| 23:22:04,555 | 2608 | LdrLoadDll |
Flags => 1694284 BaseAddress => 0x74ed0000 FileName => bcrypt.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => BCryptGetFipsAlgorithmMode FunctionAddress => 0x74ed30df ModuleHandle => 0x74ed0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKey |
DesiredAccess => 1 KeyHandle => 0x000001fc ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
Information => 0 KeyHandle => 0x000001fc ValueName => Enabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKey |
DesiredAccess => 1 KeyHandle => 0x00000200 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Lsa |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x00000200 ValueName => FipsAlgorithmPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ReleaseMutex FunctionAddress => 0x767def88 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateMutex FunctionAddress => 0x0430b05d ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateMutexW FunctionAddress => 0x767d5f40 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CloseHandle FunctionAddress => 0x767e05b7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtCreateMutant |
Handle => 0x00000200 InitialOwner => 0 MutexName => Bot executed |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00970000 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:04,555 | 2608 | LdrLoadDll |
Flags => 1689596 BaseAddress => 0x6c330000 FileName => shfolder.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SHGetFolderPath FunctionAddress => 0x0430b0cd ModuleHandle => 0x6c330000 |
FAILURE | 0xc0000139 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SHGetFolderPathW FunctionAddress => 0x6c3313ac ModuleHandle => 0x6c330000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrLoadDll |
Flags => 1689664 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemAlloc FunctionAddress => 0x77014054 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenSection |
DesiredAccess => 0x00000006 ObjectAttributes => C:\windows_shell_global_counters SectionHandle => 0x00000214 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | ZwMapViewOfSection |
SectionOffset => 0x0019d21c SectionHandle => 0x00000214 ProcessHandle => 0xffffffff BaseAddress => 0x00970000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000218 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrLoadDll |
Flags => 1690812 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => StringFromGUID2 FunctionAddress => 0x770007b8 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000021c ObjectAttributes => {3EB685DB-65F9-4CF6-A03A-E3EF65729F3D} |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
Information => 4 KeyHandle => 0x0000021c ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
Information => A\x00p\x00p\x00D\x00a\x00t\x00a\x00\x00\x00 KeyHandle => 0x0000021c ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
Information => A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00R\x00o\x00a\x00m\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x0000021c ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
KeyHandle => 0x0000021c ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | LdrLoadDll |
Flags => 1691092 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenThreadToken FunctionAddress => 0x7656b79c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000021c ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000218 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,555 | 2608 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000218 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000220 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00R\x00o\x00a\x00m\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x00000220 ValueName => AppData Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\KnownFolderSettings |
FAILURE | 0xc0000034 | 1 time |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemFree FunctionAddress => 0x77014003 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00980000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetComputerName FunctionAddress => 0x0430afd4 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,555 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetComputerNameW FunctionAddress => 0x767d3d8a ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000220 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\ComputerName |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000218 ObjectAttributes => ActiveComputerName |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000218 ValueName => ComputerName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000218 ObjectAttributes => \Registry\Machine\System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000218 ValueName => OOBEInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000218 ObjectAttributes => \Registry\Machine\System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:04,555 | 2608 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000218 ValueName => SystemSetupInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,565 | 2608 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00980000 |
SUCCESS | 0x00000000 | |
| 23:22:04,565 | 2608 | LdrLoadDll |
Flags => 1689612 BaseAddress => 0x76550000 FileName => advapi32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,565 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserName FunctionAddress => 0x0430afc8 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:04,565 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserNameW FunctionAddress => 0x76562ed2 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,565 | 2608 | LdrLoadDll |
Flags => 1692172 BaseAddress => 0x75220000 FileName => SspiCli.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,565 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserNameExW FunctionAddress => 0x752229fc ModuleHandle => 0x75220000 |
SUCCESS | 0x00000000 | |
| 23:22:04,575 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentProcessId FunctionAddress => 0x767e0d23 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,575 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentProcessIdW FunctionAddress => 0x0019ebc1 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LookupPrivilegeValue FunctionAddress => 0x646a4c0b ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LookupPrivilegeValueW FunctionAddress => 0x7656b663 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LookupPrivilegeValueW |
SystemName => PrivilegeName => SeDebugPrivilege |
SUCCESS | 0x00000001 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentProcess FunctionAddress => 0x767e060c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessTokenW FunctionAddress => 0x0019deb1 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AdjustTokenPrivileges FunctionAddress => 0x7656b656 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AdjustTokenPrivilegesW FunctionAddress => 0x0019dea1 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CloseHandle FunctionAddress => 0x767e05b7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcess FunctionAddress => 0x767d73e4 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessW FunctionAddress => 0x0019eae1 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrLoadDll |
Flags => 1696700 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\psapi.dll |
FAILURE | 0xc0000135 | |
| 23:22:04,595 | 2608 | LdrLoadDll |
Flags => 1696700 BaseAddress => 0x76870000 FileName => psapi.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EnumProcessModules FunctionAddress => 0x76871408 ModuleHandle => 0x76870000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EnumProcessModulesW FunctionAddress => 0x0019eaf1 ModuleHandle => 0x76870000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x00000230 BaseAddress => 0x7ffd800c |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xe0\x18\x1f\x00 ProcessHandle => 0x00000230 BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\x19\x1f\x00\x8cx,w`\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xcc\x00N\xa1\xe7\x00\x00\x80\x1c\x00X\x00Z\x00\x14\x17\x1f\x00\x0e\x00\x10\x00^\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xe4\x04 \x00H\xa6,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00(\x19\x1f\x00(\x19\x1f\x000\x19\x1f\x000\x19\x1f\x00\xe0\xe2\x1f\x00\xe0\xe2\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f18d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xb8\x1e\x1f\x00\xd8\x18\x1f\x00\xc0\x1e\x1f\x00\xe0\x18\x1f\x00(\x1d\x1f\x00\x9cx,w\x00\x00\x1fw\x00\x00\x00\x00\x00\xc0\x13\x00:\x00<\x00X\x18\x1f\x00\x12\x00\x14\x00\xcc\xd4%w\x04@\x00\x80\xff\xff\x00\x00\x80\xa6,w\x80\xa6,w\xdb\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xa8\x19\x1f\x00\xa8\x19\x1f\x00\xb0\x19\x1f\x00\xb0\x19\x1f\x00\xb8\x19\x1f\x00\xb8\x19\x1f\x00\x00\x00\x00\x00\x00\x00\xecw\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f1958 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => H\x1c\x1f\x00X\x19\x1f\x00P\x1c\x1f\x00`\x19\x1f\x00x\xe6\x1f\x00X\x1c\x1f\x00\x00\x00bgT.bg\x00\xa0\x04\x00>\x00@\x00p\x1e\x1f\x00\x16\x00\x18\x00\x98\x1e\x1f\x00\x04@\x08\x80\xff\xff\x00\x00\x00\xa6,w\x00\xa6,w\x84\xaf\xf3J\x00\x00\x00\x00\x00\x00\x00\x00\x08\x1f\x1f\x00\x08\x1f\x1f\x00\x10\x1f\x1f\x00\x10\x1f\x1f\x00\xd0\x1f\x1f\x00\xd0\x1f\x1f\x00\xc8\xc1$w\x00\x00\x00y\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001f1eb8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x18\x1d\x1f\x00\xb8\x1e\x1f\x00 \x1d\x1f\x00\xc0\x1e\x1f\x00\xc8\x1e\x1f\x00(\x1d\x1f\x00\x00\x00yv\xc5\x10~v\x00@
\x00@\x00B\x008\x1f\x1f\x00\x18\x00\x1a\x00`\x1f\x1f\x00\x04@\x08\x80\xff\xff\x00\x00@\xa6,w@\xa6,w\xad\xda[J\x00\x00\x00\x00\x00\x00\x00\x00X\xec\x1f\x00X\xec\x1f\x00\xa0\x1c\x1f\x00\xa0\x1c\x1f\x00\xb8\x1f\x1f\x00\x88\x1f\x1f\x00\xe4\xc1$w\x00\x00\xdew\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001f1c48 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => h\xe6\x1f\x00H\x1c\x1f\x00p\xe6\x1f\x00P\x1c\x1f\x00X\x1c\x1f\x00h\x19\x1f\x00\x00\x00Vu\x9dzVu\x00\xa0\x04\x00D\x00F\x00\xc8\x1c\x1f\x00\x1c\x00\x1e\x00\xf0\x1c\x1f\x00\x04@\x08\x80\xff\xff\x00\x00\x90\xa6,w\x90\xa6,w\xae\xda[J\x00\x00\x00\x00\x00\x00\x00\x00h\x1d\x1f\x00h\x1d\x1f\x00p\x1d\x1f\x00p\x1d\x1f\x00\xa0\x1f\x1f\x00\xa0\x1f\x1f\x00\xe4\xc1$w\x00\x00\xce
\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001f1d18 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => `\xe7\x1f\x00\x18\x1d\x1f\x00h\xe7\x1f\x00 \x1d\x1f\x00x\xe9\x1f\x00\xc8\x1e\x1f\x00\x00\x00\x12wr\xa4\x12w\x00\xc0
\x00<\x00>\x00 \xe6\x1f\x00\x14\x00\x16\x00H\xe6\x1f\x00\x04@\x08\x800\x00\x00\x00\xd4\xf0\x1f\x00x\xa6,wo\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xb8\xe6\x1f\x00\xb8\xe6\x1f\x00\xc0\xe6\x1f\x00\xc0\xe6\x1f\x00\xe8\xe6\x1f\x00\x10\xe4\x1f\x00\xe4\xc1$w\x00\x00\xf5o\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fe668 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\xe8\x1f\x00h\xe6\x1f\x00`\xe8\x1f\x00p\xe6\x1f\x00\xa8\xf0\x1f\x00h\xe8\x1f\x00\x00\x00svJ\xa2tv\x00p\x05\x00>\x00@\x00\x18\xe7\x1f\x00\x16\x00\x18\x00@\xe7\x1f\x00\x04@\x0c\x80\x05\x00\x00\x00\xb0\xa6,w\xb0\xa6,w\x05\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xb0\xe7\x1f\x00\xb0\xe7\x1f\x00\xb8\xe7\x1f\x00\xb8\xe7\x1f\x00\xc8\xeb\x1f\x00\xe0\xe7\x1f\x00\xe4\xc1$w\x00\x00\xe2m\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fe760 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => h\xe9\x1f\x00`\xe7\x1f\x00p\xe9\x1f\x00h\xe7\x1f\x00p\xe7\x1f\x00P\xee\x1f\x00\x00\x00=wI\xec=w\x00\xe0\x04\x00:\x00<\x00\x10\xe8\x1f\x00\x12\x00\x14\x008\xe8\x1f\x00\x04@\x0c\x800\x00\x00\x00D\xef\x1f\x00\xa8\xa6,w\xdd\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00\xa8\xe8\x1f\x00\xa8\xe8\x1f\x00\xb0\xe8\x1f\x00\xb0\xe8\x1f\x00h\xeb\x1f\x00\xd8\xe8\x1f\x00\xe4\xc1$w\x00\x00\xb6w\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fe858 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => @\xee\x1f\x00X\xe8\x1f\x00H\xee\x1f\x00`\xe8\x1f\x00\x18\xef\x1f\x00x\xe6\x1f\x00\x00\x00\x88v\xc9\xf7\x89v\x00\x90\x0c\x00<\x00>\x00 \xe9\x1f\x00\x14\x00\x16\x00H\xe9\x1f\x00\x04@\x0c\x803\x00\x00\x00P\xa6,wP\xa6,w/\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xb8\xe9\x1f\x00\xb8\xe9\x1f\x00\xc0\xe9\x1f\x00\xc0\xe9\x1f\x000\xea\x1f\x00\xe8\xe9\x1f\x00\xe4\xc1$w\x00\x00\xd1w\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fe968 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x08\xef\x1f\x00h\xe9\x1f\x00\x10\xef\x1f\x00p\xe9\x1f\x00h\xe8\x1f\x00\x18\xef\x1f\x00\x00\x00jvl\x13jv\x00\xa0\x00\x006\x008\x00\x00\xee\x1f\x00\x0e\x00\x10\x00(\xee\x1f\x00\x04@\x0c\x80\x0c\x00\x00\x00d\xff\x1f\x008\xa6,w\x19\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\x90\xee\x1f\x00\x90\xee\x1f\x00\x98\xee\x1f\x00\x98\xee\x1f\x00P\xeb\x1f\x00`\xea\x1f\x00\xe4\xc1$w\x00\x00,@\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fee40 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xd0\xef\x1f\x00@\xee\x1f\x00\xd8\xef\x1f\x00H\xee\x1f\x00P\xee\x1f\x00x\xe9\x1f\x00\x00\x00\xb3v\xd7G\xb6v\x00\xd0 \x00:\x00<\x00\xc0\xee\x1f\x00\x12\x00\x14\x00\xe8\xee\x1f\x00\x04@\x0c\x80\x0c\x00\x00\x00\xe4\xfe\x1f\x00\x94\xe8\x1f\x002\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00X\xef\x1f\x00X\xef\x1f\x00`\xef\x1f\x00`\xef\x1f\x008\xeb\x1f\x00\xd8\xea\x1f\x00\xe4\xc1$w\x00\x00\x8eo\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fef08 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x98\xf0\x1f\x00\x08\xef\x1f\x00\xa0\xf0\x1f\x00\x10\xef\x1f\x000\xf2\x1f\x00h\xf1\x1f\x00\x00\x00\x95v]\x14\x95v\x00P\x03\x00<\x00>\x00\x88\xef\x1f\x00\x14\x00\x16\x00\xb0\xef\x1f\x00\x04@\x08\x80\x04\x00\x00\x00d\x02 \x00p\xa6,wJ\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00 \xf0\x1f\x00 \xf0\x1f\x00(\xf0\x1f\x00(\xf0\x1f\x00\x18\xed\x1f\x00\xf8\xeb\x1f\x00\xe4\xc1$w\x00\x00\xacA\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fefd0 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\xf1\x1f\x00\xd0\xef\x1f\x00`\xf1\x1f\x00\xd8\xef\x1f\x00h\xf1\x1f\x00p\xe7\x1f\x00\x00\x00_v\xd4\xafbv\x00\x10
\x00<\x00>\x00P\xf0\x1f\x00\x14\x00\x16\x00x\xf0\x1f\x00\x04@\x08\x80\x1b\x00\x00\x00x\xa6,w\xa4\xe6\x1f\x00\xde\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xf0\x1f\x00\xe8\xf0\x1f\x00\xf0\xf0\x1f\x00\xf0\xf0\x1f\x00\xa0\xec\x1f\x00p\xec\x1f\x00\xe4\xc1$w\x00\x00\xbbw\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ff098 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => H\xf4\x1f\x00\x98\xf0\x1f\x00P\xf4\x1f\x00\xa0\xf0\x1f\x00\xe0\xef\x1f\x00\xa8\xf0\x1f\x00\x00\x003w\x82\x173w\x00`\x00\x006\x008\x00\x18\xf1\x1f\x00\x0e\x00\x10\x00@\xf1\x1f\x00\x04@\x0c\x80\x04\x00\x00\x00\xe4\xfd\x1f\x00 \xa6,w\xd9\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xa8\xf1\x1f\x00\xa8\xf1\x1f\x00\xb0\xf1\x1f\x00\xb0\xf1\x1f\x00\x00\xed\x1f\x00\xd0\xec\x1f\x00\xe4\xc1$w\x00\x00\x16@\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ff158 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xf2\x1f\x00X\xf1\x1f\x00(\xf2\x1f\x00`\xf1\x1f\x00\xb8\xfd\x1f\x000\xf2\x1f\x00\x00\x00/vU\x13/v\x00\xf0\x01\x00:\x00<\x00\x00\xf4\x1f\x00\x12\x00\x14\x00(\xf4\x1f\x00\x04@\x08\x80\x02\x00\x00\x00d\x06 \x000\xa6,w\x07\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\x98\xf4\x1f\x00\x98\xf4\x1f\x00\xa0\xf4\x1f\x00\xa0\xf4\x1f\x00X\xf5\x1f\x00H\xed\x1f\x00\xe4\xc1$w\x00\x00\x84A\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ff448 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\xfd\x1f\x00H\xf4\x1f\x00\xb0\xfd\x1f\x00P\xf4\x1f\x00X\xf4\x1f\x00\xe0\xef\x1f\x00\x00\x00\xdev\x8b\x16\xdev\x00\xc0\x0c\x00:\x00<\x00\xd8\xf1\x1f\x00\x12\x00\x14\x00\x00\xf2\x1f\x00\x04@\x08\x80\x01\x00\x00\x00d\x0c \x00\x88\xa6,wi\xda[J\x00\x00\x00\x00\x00\x00\x00\x00p\xf2\x1f\x00p\xf2\x1f\x00x\xf2\x1f\x00x\xf2\x1f\x00@\xf5\x1f\x00\xc0\xed\x1f\x00\xe4\xc1$w\x00\x00\x99p\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ff220 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\xfe\x1f\x00 \xf2\x1f\x000\xfe\x1f\x00(\xf2\x1f\x00\xb8\xfe\x1f\x00X\xf4\x1f\x00\x00\x00$ul+$u\x00\xb0\x04\x00>\x00@\x00x\xf3\x1f\x00\x16\x00\x18\x00\xa0\xf3\x1f\x00\x04@\x0c\x80\xff\xff\x00\x00d
\x00\x94\xf1\x1f\x00\xb6\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\xfd\x1f\x00\xf8\xfd\x1f\x00\x00\xfe\x1f\x00\x00\xfe\x1f\x00\x88\xf5\x1f\x00p\xf5\x1f\x00\xe4\xc1$w\x00\x00\x00o\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ffda8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\xfe\x1f\x00\xa8\xfd\x1f\x00\xb0\xfe\x1f\x00\xb0\xfd\x1f\x008\xff\x1f\x00\xb8\xfe\x1f\x00\x00\x00Uv\xd9-Wv\x00\x00
\x00@\x00B\x00\x98F!\x00\x18\x00\x1a\x00\xc0F!\x00\x04@\x08\x80\x08\x00\x00\x00\xa0\xa6,w\xa0\xa6,w~\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00x\xfe\x1f\x00x\xfe\x1f\x00\x80\xfe\x1f\x00\x80\xfe\x1f\x00\xc0\xf6\x1f\x00\xd0\xf5\x1f\x00\xe4\xc1$w\x00\x00\xc6w\xb0\x88\xc1i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ffe28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\xff\x1f\x00(\xfe\x1f\x000\xff\x1f\x000\xfe\x1f\x008\xfe\x1f\x00\xb8\xfd\x1f\x00\x00\x00\x1dwuI\x1dw\x00\x90\x01\x00>\x00@\x00\x88u \x00\x16\x00\x18\x00\xb0u \x00\x04@\x0c\x80 \x00\x00\x00\xa8\xa6,wD\xef\x1f\x00\x04\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\xfe\x1f\x00\xf8\xfe\x1f\x00\x00\xff\x1f\x00\x00\xff\x1f\x00x\xf6\x1f\x00\x18\xf6\x1f\x00\xe4\xc1$w\x00\x00\xb2\x02\xb0\x88\xc1i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ffea8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x00 \x00\xa8\xfe\x1f\x000\x00 \x00\xb0\xfe\x1f\x008\x00 \x008\xfe\x1f\x00\x00\x00\xd8t]\x14\xd8t\x00\xc0\x03\x00>\x00@\x00ht \x00\x16\x00\x18\x00\x90t \x00\x04@\x08\x80\x02\x00\x00\x008\xa6,w|\xee\x1f\x00w\xda[J\x00\x00\x00\x00\x00\x00\x00\x00x\xff\x1f\x00x\xff\x1f\x00\x80\xff\x1f\x00\x80\xff\x1f\x00\x80\xf7\x1f\x00\xf0\xf6\x1f\x00\xe4\xc1$w\x00\x00\x88l\xb0\x88\xc1i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fff28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x01 \x00(\xff\x1f\x000\x01 \x000\xff\x1f\x008\x01 \x008\xff\x1f\x00\x00\x00\x85t\xdf\x15\x85t\x00P\x00\x00@\x00B\x008G!\x00\x18\x00\x1a\x00`G!\x00\x04@\x0c\x80\x01\x00\x00\x00\xe0\xa5,w\xe0\xa5,wZ\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00x\x00 \x00x\x00 \x00\x80\x00 \x00\x80\x00 \x00\xb0\xf7\x1f\x00\x98\xf7\x1f\x00\xe4\xc1$w\x00\x00\xd2?\xe0\x0f\xc3i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200028 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\x01 \x00(\x00 \x00\xb0\x01 \x000\x00 \x008\x02 \x008\x00 \x00\x00\x00Lgx5Lg\x00`\x06\x00t\x00v\x00\xa8\x00 \x00\x18\x00\x1a\x00\x04\x01 \x00\x04@\x08\x80\x01\x00\x00\x00\xe4\x0b \x00\xb8\xa6,w\xa9\xd8\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x\x01 \x00x\x01 \x00\x80\x01 \x00\x80\x01 \x00\xe0\xf7\x1f\x00\xe0\xf7\x1f\x00\xc8\xc1$w\x00\x00;`\xe0\x0f\xc3i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200128 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x02 \x00(\x01 \x000\x02 \x000\x01 \x008\x03 \x008\x02 \x00\x00\x00\xb1e\xf0X\xbce\x00\xf0f\x00j\x00l\x00@& \x00\x0e\x00\x10\x00\x9c& \x00\x04@\x08\x80\x02\x00\x00\x00\xe4
\x00h\xa6,w\xef\xd9\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xf8\x01 \x00\xf8\x01 \x00\x00\x02 \x00\x00\x02 \x00\xd0; \x00X; \x00\xc8\xc1$w\x00\x00\x14y\x10\x97\xc4i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x002001a8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x03 \x00\xa8\x01 \x000\x03 \x00\xb0\x01 \x00\xb8\x01 \x008\x01 \x00\x00\x00@g\xd4QBg\x00\xe0\x0b\x00P\x00R\x00\x98n \x00(\x00*\x00\xc0n \x00\x04@\x08\x80\x04\x00\x00\x00d\x03 \x00\x0c\xf0\x1f\x00\xf2\xdb\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x\x02 \x00x\x02 \x00\x80\x02 \x00\x80\x02 \x00@; \x00@; \x00\xc8\xc1$w\x00\x00\x06y\x10\x97\xc4i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200228 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\x03 \x00(\x02 \x00\xb0\x03 \x000\x02 \x00\xb8\x03 \x00\xb8\x01 \x00\x00\x00\xfe\x03\x00\x00\x00\x00\x000\xdc\x00\xd0\x00\xd2\x00\x88\xaf#\x00\x1e\x00 \x00:\xb0#\x00\x04@\x00\x80\x01\x00\x00\x00p\xa6,wd\x02 \x00o\xda\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x\x03 \x00x\x03 \x00\x80\x03 \x00\x80\x03 \x00\x88\x03 \x00\x88\x03 \x00\xc8\xc1$w\x00\x00\x88y\x00\xae\xe4i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200328 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\x04 \x00(\x03 \x00\xb0\x04 \x000\x03 \x00\xb8\x04 \x008\x03 \x00\x00\x00Uq\xe8\x1dUq\x00\x00\x01\x00x\x00z\x00@\xa1#\x00\x1c\x00\x1e\x00\x9c\xa1#\x00\x04@\x08\x80\x01\x00\x00\x00\xd8\xa5,w\xd8\xa5,w\xae\xd8\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xf8\x03 \x00\xf8\x03 \x00\x00\x04 \x00\x00\x04 \x00\x90\xac#\x00x\xac#\x00\xc8\xc1$w\x00\x00\x93`05\xe6i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x002003a8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x05 \x00\xa8\x03 \x000\x05 \x00\xb0\x03 \x008\x05 \x00\xb8\x03 \x00\x00\x00\xfcv\x13]\x01w\x00\xc0\x15\x00:\x00<\x000p \x00\x12\x00\x14\x00Xp \x00\x04@\x08\x80\x03\x00\x00\x00H\xa6,w\x14\x19\x1f\x00\xc7\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\x04 \x00\xf8\x04 \x00\x00\x05 \x00\x00\x05 \x00p&$\x00\xd0> \x00\xe4\xc1$w\x00\x00Tr\x90C\xe9i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x002004a8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x06 \x00\xa8\x04 \x000\x06 \x00\xb0\x04 \x008\x06 \x00\xb8\x04 \x00\x00\x00)u\xe1\x10)u\x00\xc0\x00\x00B\x00D\x00\xa8J!\x00\x1a\x00\x1c\x00\xd0J!\x00\x04@\x08\x80\x01\x00\x00\x00\x08\xa6,w\x08\xa6,wA\xbf[J\x00\x00\x00\x00\x00\x00\x00\x00x\x05 \x00x\x05 \x00\x80\x05 \x00\x80\x05 \x00\xb8&$\x00\x88&$\x00\xe4\xc1$w\x00\x00\x00\x10\x90C\xe9i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200528 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (
\x00(\x05 \x000
\x000\x05 \x008
\x008\x05 \x00\x00\x00\xf2f\x88\xc9\xf6f\x00\x00\x06\x00p\x00r\x00\xa8\x05 \x00\x14\x00\x16\x00\x04\x06 \x00\x04@\x0c\x80\x01\x00\x00\x000\xa6,w\x84\xf4\x1f\x006\xda\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x\x06 \x00x\x06 \x00\x80\x06 \x00\x80\x06 \x00\xf0'$\x00\xd8'$\x00\xc8\xc1$w\x00\x00\x81y\xf0Q\xeci|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200628 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8
\x00(\x06 \x00\xb0
\x000\x06 \x00\xb8
\x008\x06 \x00\x00\x00Jd\x00\x00\x00\x00\x00\x80\x89\x00\xc8\x00\xca\x00h\xfc$\x00\x1a\x00\x1c\x00\x16\xfd$\x00\x04@\x00\x80\x01\x00\x00\x00 \xa6,w\xe4\xfd\x1f\x00\xf4\xdf\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x
\x00x
\x00\x80
\x00\x80
\x00\x88
\x00\x88
\x00\xc8\xc1$w\x00\x00\x82z@\x04\xf7i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200a28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x0b \x00(
\x000\x0b \x000
\x008\x0b \x008
\x00\x00\x00\xdec\x00\x00\x00\x00\x00`k\x00\xdc\x00\xde\x00\xc0
%\x00$\x00&\x00x\x0e%\x00\x04@\x00\x80\x01\x00\x00\x00h\xa6,w\xe4\x01 \x00\xee\xdf\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xf8
\x00\xf8
\x00\x00\x0b \x00\x00\x0b \x00\x08\x0b \x00\x08\x0b \x00\xc8\xc1$w\x00\x00\xe5`p\x8b\xf8i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200aa8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\x0b \x00\xa8
\x00\xb0\x0b \x00\xb0
\x008\x0c \x00\xb8
\x00\x00\x00\xedtt5\xedt\x00p\x01\x00<\x00>\x008w \x00\x14\x00\x16\x00`w \x00\x04@\x0c\x80\x01\x00\x00\x00\xd0\xa5,w\xd0\xa5,w\x86\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00x\x0b \x00x\x0b \x00\x80\x0b \x00\x80\x0b \x00\x80 %\x00\xc8 %\x00\xe4\xc1$w\x00\x00\x80m\x00!\xfdi|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200b28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x0c \x00(\x0b \x000\x0c \x000\x0b \x008
\x008\x0c \x00\x00\x003l\xd0\x113l\x00P\x00\x00@\x00B\x00\xd8Q!\x00\x18\x00\x1a\x00\x00R!\x00\x04@\x0c\x80\x01\x00\x00\x00d
\x00d\x01 \x00\x02\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\x0b \x00\xf8\x0b \x00\x00\x0c \x00\x00\x0c \x00\xe8
%\x00\xb8
%\x00\xe4\xc1$w\x00\x00\xf5?\x00!\xfdi|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200ba8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (
\x00\xa8\x0b \x000
\x00\xb0\x0b \x00\xb8\x0b \x008\x0b \x00\x00\x00juZ\xd4qu\x00\x90\xc4\x00>\x00@\x00\xf0v \x00\x16\x00\x18\x00\x18w \x00\x04@\x0c\x80\x01\x00\x00\x00\xe4
\x00\\xf2\x1f\x00\x01\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00x\x0c \x00x\x0c \x00\x80\x0c \x00\x80\x0c \x00\xa0
%\x00\x10
%\x00\xe4\xc1$w\x00\x00\x80s\x00!\xfdi|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200c28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8
\x00(\x0c \x00\xb0
\x000\x0c \x00\xb8
\x00\xb8\x0b \x00\x00\x00"u\xcd,"u\x00\xa0\x01\x00>\x00@\x00\xc8w \x00\x16\x00\x18\x00\xf0w \x00\x04@\x0c\x80\x01\x00\x00\x00\xb8\xa6,w\xe4\x0b \x00<\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00x
\x00x
\x00\x80
\x00\x80
\x00x\x0b%\x00\x18\x0b%\x00\xe4\xc1$w\x00\x00"\x020\xa8\xfei|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200d28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x8cx,w(
\x00\x94x,w0
\x00\x9cx,w8
\x00\x00\x00\x87v8\x14\x87v\x00P\x00\x00:\x00<\x00xp \x00\x12\x00\x14\x00\xa0p \x00\x04@\x0c\x80\x01\x00\x00\x00\x88\xa6,wd\x0c \x00\xce\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8
\x00\xf8
\x00\x00\x0e \x00\x00\x0e \x00\x08\x0c%\x00\x08\x0c%\x00\xe4\xc1$w\x00\x00\xaa}\xc0=\x03j|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200da8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleInformation FunctionAddress => 0x76871420 ModuleHandle => 0x76870000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleInformationW FunctionAddress => 0x0019eaf1 ModuleHandle => 0x76870000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x00000230 BaseAddress => 0x7ffd800c |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xe0\x18\x1f\x00 ProcessHandle => 0x00000230 BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\x19\x1f\x00\x8cx,w`\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xcc\x00N\xa1\xe7\x00\x00\x80\x1c\x00X\x00Z\x00\x14\x17\x1f\x00\x0e\x00\x10\x00^\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xe4\x04 \x00H\xa6,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00(\x19\x1f\x00(\x19\x1f\x000\x19\x1f\x000\x19\x1f\x00\xe0\xe2\x1f\x00\xe0\xe2\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f18d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleBaseName FunctionAddress => 0x646a4c79 ModuleHandle => 0x76870000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleBaseNameW FunctionAddress => 0x7687152c ModuleHandle => 0x76870000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x00000230 BaseAddress => 0x7ffd800c |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xe0\x18\x1f\x00 ProcessHandle => 0x00000230 BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\x19\x1f\x00\x8cx,w`\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xcc\x00N\xa1\xe7\x00\x00\x80\x1c\x00X\x00Z\x00\x14\x17\x1f\x00\x0e\x00\x10\x00^\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xe4\x04 \x00H\xa6,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00(\x19\x1f\x00(\x19\x1f\x000\x19\x1f\x000\x19\x1f\x00\xe0\xe2\x1f\x00\xe0\xe2\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f18d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => 5\x005\x005\x00.\x00e\x00x\x00e\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f175e |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleFileNameEx FunctionAddress => 0x646a4c8b ModuleHandle => 0x76870000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleFileNameExW FunctionAddress => 0x768713f0 ModuleHandle => 0x76870000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x00000230 BaseAddress => 0x7ffd800c |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xe0\x18\x1f\x00 ProcessHandle => 0x00000230 BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\x19\x1f\x00\x8cx,w`\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xcc\x00N\xa1\xe7\x00\x00\x80\x1c\x00X\x00Z\x00\x14\x17\x1f\x00\x0e\x00\x10\x00^\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xe4\x04 \x00H\xa6,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00(\x19\x1f\x00(\x19\x1f\x000\x19\x1f\x000\x19\x1f\x00\xe0\xe2\x1f\x00\xe0\xe2\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f18d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00L\x00o\x00c\x00a\x00l\x00\\x00T\x00e\x00m\x00p\x00\\x005\x005\x005\x00.\x00e\x00x\x00e\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f1714 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetErrorMode FunctionAddress => 0x767e1297 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileAttributesEx FunctionAddress => 0x0430ad89 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileAttributesExW FunctionAddress => 0x767d5f4d ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetErrorMode FunctionAddress => 0x767e1297 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegCloseKey FunctionAddress => 0x7656bed4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x00000230 BaseAddress => 0x7ffd800c |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xe0\x18\x1f\x00 ProcessHandle => 0x00000230 BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\x19\x1f\x00\x8cx,w`\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xcc\x00N\xa1\xe7\x00\x00\x80\x1c\x00X\x00Z\x00\x14\x17\x1f\x00\x0e\x00\x10\x00^\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xe4\x04 \x00H\xa6,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00(\x19\x1f\x00(\x19\x1f\x000\x19\x1f\x000\x19\x1f\x00\xe0\xe2\x1f\x00\xe0\xe2\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f18d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xb8\x1e\x1f\x00\xd8\x18\x1f\x00\xc0\x1e\x1f\x00\xe0\x18\x1f\x00(\x1d\x1f\x00\x9cx,w\x00\x00\x1fw\x00\x00\x00\x00\x00\xc0\x13\x00:\x00<\x00X\x18\x1f\x00\x12\x00\x14\x00\xcc\xd4%w\x04@\x00\x80\xff\xff\x00\x00\x80\xa6,w\x80\xa6,w\xdb\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xa8\x19\x1f\x00\xa8\x19\x1f\x00\xb0\x19\x1f\x00\xb0\x19\x1f\x00\xb8\x19\x1f\x00\xb8\x19\x1f\x00\x00\x00\x00\x00\x00\x00\xecw\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f1958 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => H\x1c\x1f\x00X\x19\x1f\x00P\x1c\x1f\x00`\x19\x1f\x00x\xe6\x1f\x00X\x1c\x1f\x00\x00\x00bgT.bg\x00\xa0\x04\x00>\x00@\x00p\x1e\x1f\x00\x16\x00\x18\x00\x98\x1e\x1f\x00\x04@\x08\x80\xff\xff\x00\x00\x00\xa6,w\x00\xa6,w\x84\xaf\xf3J\x00\x00\x00\x00\x00\x00\x00\x00\x08\x1f\x1f\x00\x08\x1f\x1f\x00\x10\x1f\x1f\x00\x10\x1f\x1f\x00\xd0\x1f\x1f\x00\xd0\x1f\x1f\x00\xc8\xc1$w\x00\x00\x00y\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001f1eb8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x18\x1d\x1f\x00\xb8\x1e\x1f\x00 \x1d\x1f\x00\xc0\x1e\x1f\x00\xc8\x1e\x1f\x00(\x1d\x1f\x00\x00\x00yv\xc5\x10~v\x00@
\x00@\x00B\x008\x1f\x1f\x00\x18\x00\x1a\x00`\x1f\x1f\x00\x04@\x08\x80\xff\xff\x00\x00@\xa6,w@\xa6,w\xad\xda[J\x00\x00\x00\x00\x00\x00\x00\x00X\xec\x1f\x00X\xec\x1f\x00\xa0\x1c\x1f\x00\xa0\x1c\x1f\x00\xb8\x1f\x1f\x00\x88\x1f\x1f\x00\xe4\xc1$w\x00\x00\xdew\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001f1c48 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => h\xe6\x1f\x00H\x1c\x1f\x00p\xe6\x1f\x00P\x1c\x1f\x00X\x1c\x1f\x00h\x19\x1f\x00\x00\x00Vu\x9dzVu\x00\xa0\x04\x00D\x00F\x00\xc8\x1c\x1f\x00\x1c\x00\x1e\x00\xf0\x1c\x1f\x00\x04@\x08\x80\xff\xff\x00\x00\x90\xa6,w\x90\xa6,w\xae\xda[J\x00\x00\x00\x00\x00\x00\x00\x00h\x1d\x1f\x00h\x1d\x1f\x00p\x1d\x1f\x00p\x1d\x1f\x00\xa0\x1f\x1f\x00\xa0\x1f\x1f\x00\xe4\xc1$w\x00\x00\xce
\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001f1d18 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => `\xe7\x1f\x00\x18\x1d\x1f\x00h\xe7\x1f\x00 \x1d\x1f\x00x\xe9\x1f\x00\xc8\x1e\x1f\x00\x00\x00\x12wr\xa4\x12w\x00\xc0
\x00<\x00>\x00 \xe6\x1f\x00\x14\x00\x16\x00H\xe6\x1f\x00\x04@\x08\x800\x00\x00\x00\xd4\xf0\x1f\x00x\xa6,wo\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xb8\xe6\x1f\x00\xb8\xe6\x1f\x00\xc0\xe6\x1f\x00\xc0\xe6\x1f\x00\xe8\xe6\x1f\x00\x10\xe4\x1f\x00\xe4\xc1$w\x00\x00\xf5o\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fe668 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\xe8\x1f\x00h\xe6\x1f\x00`\xe8\x1f\x00p\xe6\x1f\x00\xa8\xf0\x1f\x00h\xe8\x1f\x00\x00\x00svJ\xa2tv\x00p\x05\x00>\x00@\x00\x18\xe7\x1f\x00\x16\x00\x18\x00@\xe7\x1f\x00\x04@\x0c\x80\x05\x00\x00\x00\xb0\xa6,w\xb0\xa6,w\x05\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xb0\xe7\x1f\x00\xb0\xe7\x1f\x00\xb8\xe7\x1f\x00\xb8\xe7\x1f\x00\xc8\xeb\x1f\x00\xe0\xe7\x1f\x00\xe4\xc1$w\x00\x00\xe2m\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fe760 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => h\xe9\x1f\x00`\xe7\x1f\x00p\xe9\x1f\x00h\xe7\x1f\x00p\xe7\x1f\x00P\xee\x1f\x00\x00\x00=wI\xec=w\x00\xe0\x04\x00:\x00<\x00\x10\xe8\x1f\x00\x12\x00\x14\x008\xe8\x1f\x00\x04@\x0c\x800\x00\x00\x00D\xef\x1f\x00\xa8\xa6,w\xdd\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00\xa8\xe8\x1f\x00\xa8\xe8\x1f\x00\xb0\xe8\x1f\x00\xb0\xe8\x1f\x00h\xeb\x1f\x00\xd8\xe8\x1f\x00\xe4\xc1$w\x00\x00\xb6w\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fe858 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => @\xee\x1f\x00X\xe8\x1f\x00H\xee\x1f\x00`\xe8\x1f\x00\x18\xef\x1f\x00x\xe6\x1f\x00\x00\x00\x88v\xc9\xf7\x89v\x00\x90\x0c\x00<\x00>\x00 \xe9\x1f\x00\x14\x00\x16\x00H\xe9\x1f\x00\x04@\x0c\x803\x00\x00\x00P\xa6,wP\xa6,w/\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xb8\xe9\x1f\x00\xb8\xe9\x1f\x00\xc0\xe9\x1f\x00\xc0\xe9\x1f\x000\xea\x1f\x00\xe8\xe9\x1f\x00\xe4\xc1$w\x00\x00\xd1w\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fe968 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x08\xef\x1f\x00h\xe9\x1f\x00\x10\xef\x1f\x00p\xe9\x1f\x00h\xe8\x1f\x00\x18\xef\x1f\x00\x00\x00jvl\x13jv\x00\xa0\x00\x006\x008\x00\x00\xee\x1f\x00\x0e\x00\x10\x00(\xee\x1f\x00\x04@\x0c\x80\x0c\x00\x00\x00d\xff\x1f\x008\xa6,w\x19\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\x90\xee\x1f\x00\x90\xee\x1f\x00\x98\xee\x1f\x00\x98\xee\x1f\x00P\xeb\x1f\x00`\xea\x1f\x00\xe4\xc1$w\x00\x00,@\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fee40 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xd0\xef\x1f\x00@\xee\x1f\x00\xd8\xef\x1f\x00H\xee\x1f\x00P\xee\x1f\x00x\xe9\x1f\x00\x00\x00\xb3v\xd7G\xb6v\x00\xd0 \x00:\x00<\x00\xc0\xee\x1f\x00\x12\x00\x14\x00\xe8\xee\x1f\x00\x04@\x0c\x80\x0c\x00\x00\x00\xe4\xfe\x1f\x00\x94\xe8\x1f\x002\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00X\xef\x1f\x00X\xef\x1f\x00`\xef\x1f\x00`\xef\x1f\x008\xeb\x1f\x00\xd8\xea\x1f\x00\xe4\xc1$w\x00\x00\x8eo\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fef08 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x98\xf0\x1f\x00\x08\xef\x1f\x00\xa0\xf0\x1f\x00\x10\xef\x1f\x000\xf2\x1f\x00h\xf1\x1f\x00\x00\x00\x95v]\x14\x95v\x00P\x03\x00<\x00>\x00\x88\xef\x1f\x00\x14\x00\x16\x00\xb0\xef\x1f\x00\x04@\x08\x80\x04\x00\x00\x00d\x02 \x00p\xa6,wJ\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00 \xf0\x1f\x00 \xf0\x1f\x00(\xf0\x1f\x00(\xf0\x1f\x00\x18\xed\x1f\x00\xf8\xeb\x1f\x00\xe4\xc1$w\x00\x00\xacA\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fefd0 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\xf1\x1f\x00\xd0\xef\x1f\x00`\xf1\x1f\x00\xd8\xef\x1f\x00h\xf1\x1f\x00p\xe7\x1f\x00\x00\x00_v\xd4\xafbv\x00\x10
\x00<\x00>\x00P\xf0\x1f\x00\x14\x00\x16\x00x\xf0\x1f\x00\x04@\x08\x80\x1b\x00\x00\x00x\xa6,w\xa4\xe6\x1f\x00\xde\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xf0\x1f\x00\xe8\xf0\x1f\x00\xf0\xf0\x1f\x00\xf0\xf0\x1f\x00\xa0\xec\x1f\x00p\xec\x1f\x00\xe4\xc1$w\x00\x00\xbbw\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ff098 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => H\xf4\x1f\x00\x98\xf0\x1f\x00P\xf4\x1f\x00\xa0\xf0\x1f\x00\xe0\xef\x1f\x00\xa8\xf0\x1f\x00\x00\x003w\x82\x173w\x00`\x00\x006\x008\x00\x18\xf1\x1f\x00\x0e\x00\x10\x00@\xf1\x1f\x00\x04@\x0c\x80\x04\x00\x00\x00\xe4\xfd\x1f\x00 \xa6,w\xd9\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xa8\xf1\x1f\x00\xa8\xf1\x1f\x00\xb0\xf1\x1f\x00\xb0\xf1\x1f\x00\x00\xed\x1f\x00\xd0\xec\x1f\x00\xe4\xc1$w\x00\x00\x16@\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ff158 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xf2\x1f\x00X\xf1\x1f\x00(\xf2\x1f\x00`\xf1\x1f\x00\xb8\xfd\x1f\x000\xf2\x1f\x00\x00\x00/vU\x13/v\x00\xf0\x01\x00:\x00<\x00\x00\xf4\x1f\x00\x12\x00\x14\x00(\xf4\x1f\x00\x04@\x08\x80\x02\x00\x00\x00d\x06 \x000\xa6,w\x07\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\x98\xf4\x1f\x00\x98\xf4\x1f\x00\xa0\xf4\x1f\x00\xa0\xf4\x1f\x00X\xf5\x1f\x00H\xed\x1f\x00\xe4\xc1$w\x00\x00\x84A\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ff448 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\xfd\x1f\x00H\xf4\x1f\x00\xb0\xfd\x1f\x00P\xf4\x1f\x00X\xf4\x1f\x00\xe0\xef\x1f\x00\x00\x00\xdev\x8b\x16\xdev\x00\xc0\x0c\x00:\x00<\x00\xd8\xf1\x1f\x00\x12\x00\x14\x00\x00\xf2\x1f\x00\x04@\x08\x80\x01\x00\x00\x00d\x0c \x00\x88\xa6,wi\xda[J\x00\x00\x00\x00\x00\x00\x00\x00p\xf2\x1f\x00p\xf2\x1f\x00x\xf2\x1f\x00x\xf2\x1f\x00@\xf5\x1f\x00\xc0\xed\x1f\x00\xe4\xc1$w\x00\x00\x99p\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ff220 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\xfe\x1f\x00 \xf2\x1f\x000\xfe\x1f\x00(\xf2\x1f\x00\xb8\xfe\x1f\x00X\xf4\x1f\x00\x00\x00$ul+$u\x00\xb0\x04\x00>\x00@\x00x\xf3\x1f\x00\x16\x00\x18\x00\xa0\xf3\x1f\x00\x04@\x0c\x80\xff\xff\x00\x00d
\x00\x94\xf1\x1f\x00\xb6\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\xfd\x1f\x00\xf8\xfd\x1f\x00\x00\xfe\x1f\x00\x00\xfe\x1f\x00\x88\xf5\x1f\x00p\xf5\x1f\x00\xe4\xc1$w\x00\x00\x00o\x80\x01\xc0i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ffda8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\xfe\x1f\x00\xa8\xfd\x1f\x00\xb0\xfe\x1f\x00\xb0\xfd\x1f\x008\xff\x1f\x00\xb8\xfe\x1f\x00\x00\x00Uv\xd9-Wv\x00\x00
\x00@\x00B\x00\x98F!\x00\x18\x00\x1a\x00\xc0F!\x00\x04@\x08\x80\x08\x00\x00\x00\xa0\xa6,w\xa0\xa6,w~\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00x\xfe\x1f\x00x\xfe\x1f\x00\x80\xfe\x1f\x00\x80\xfe\x1f\x00\xc0\xf6\x1f\x00\xd0\xf5\x1f\x00\xe4\xc1$w\x00\x00\xc6w\xb0\x88\xc1i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ffe28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\xff\x1f\x00(\xfe\x1f\x000\xff\x1f\x000\xfe\x1f\x008\xfe\x1f\x00\xb8\xfd\x1f\x00\x00\x00\x1dwuI\x1dw\x00\x90\x01\x00>\x00@\x00\x88u \x00\x16\x00\x18\x00\xb0u \x00\x04@\x0c\x80 \x00\x00\x00\xa8\xa6,wD\xef\x1f\x00\x04\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\xfe\x1f\x00\xf8\xfe\x1f\x00\x00\xff\x1f\x00\x00\xff\x1f\x00x\xf6\x1f\x00\x18\xf6\x1f\x00\xe4\xc1$w\x00\x00\xb2\x02\xb0\x88\xc1i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001ffea8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x00 \x00\xa8\xfe\x1f\x000\x00 \x00\xb0\xfe\x1f\x008\x00 \x008\xfe\x1f\x00\x00\x00\xd8t]\x14\xd8t\x00\xc0\x03\x00>\x00@\x00ht \x00\x16\x00\x18\x00\x90t \x00\x04@\x08\x80\x02\x00\x00\x008\xa6,w|\xee\x1f\x00w\xda[J\x00\x00\x00\x00\x00\x00\x00\x00x\xff\x1f\x00x\xff\x1f\x00\x80\xff\x1f\x00\x80\xff\x1f\x00\x80\xf7\x1f\x00\xf0\xf6\x1f\x00\xe4\xc1$w\x00\x00\x88l\xb0\x88\xc1i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x001fff28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x01 \x00(\xff\x1f\x000\x01 \x000\xff\x1f\x008\x01 \x008\xff\x1f\x00\x00\x00\x85t\xdf\x15\x85t\x00P\x00\x00@\x00B\x008G!\x00\x18\x00\x1a\x00`G!\x00\x04@\x0c\x80\x01\x00\x00\x00\xe0\xa5,w\xe0\xa5,wZ\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00x\x00 \x00x\x00 \x00\x80\x00 \x00\x80\x00 \x00\xb0\xf7\x1f\x00\x98\xf7\x1f\x00\xe4\xc1$w\x00\x00\xd2?\xe0\x0f\xc3i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200028 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\x01 \x00(\x00 \x00\xb0\x01 \x000\x00 \x008\x02 \x008\x00 \x00\x00\x00Lgx5Lg\x00`\x06\x00t\x00v\x00\xa8\x00 \x00\x18\x00\x1a\x00\x04\x01 \x00\x04@\x08\x80\x01\x00\x00\x00\xe4\x0b \x00\xb8\xa6,w\xa9\xd8\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x\x01 \x00x\x01 \x00\x80\x01 \x00\x80\x01 \x00\xe0\xf7\x1f\x00\xe0\xf7\x1f\x00\xc8\xc1$w\x00\x00;`\xe0\x0f\xc3i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200128 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x02 \x00(\x01 \x000\x02 \x000\x01 \x008\x03 \x008\x02 \x00\x00\x00\xb1e\xf0X\xbce\x00\xf0f\x00j\x00l\x00@& \x00\x0e\x00\x10\x00\x9c& \x00\x04@\x08\x80\x02\x00\x00\x00\xe4
\x00h\xa6,w\xef\xd9\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xf8\x01 \x00\xf8\x01 \x00\x00\x02 \x00\x00\x02 \x00\xd0; \x00X; \x00\xc8\xc1$w\x00\x00\x14y\x10\x97\xc4i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x002001a8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x03 \x00\xa8\x01 \x000\x03 \x00\xb0\x01 \x00\xb8\x01 \x008\x01 \x00\x00\x00@g\xd4QBg\x00\xe0\x0b\x00P\x00R\x00\x98n \x00(\x00*\x00\xc0n \x00\x04@\x08\x80\x04\x00\x00\x00d\x03 \x00\x0c\xf0\x1f\x00\xf2\xdb\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x\x02 \x00x\x02 \x00\x80\x02 \x00\x80\x02 \x00@; \x00@; \x00\xc8\xc1$w\x00\x00\x06y\x10\x97\xc4i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200228 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\x03 \x00(\x02 \x00\xb0\x03 \x000\x02 \x00\xb8\x03 \x00\xb8\x01 \x00\x00\x00\xfe\x03\x00\x00\x00\x00\x000\xdc\x00\xd0\x00\xd2\x00\x88\xaf#\x00\x1e\x00 \x00:\xb0#\x00\x04@\x00\x80\x01\x00\x00\x00p\xa6,wd\x02 \x00o\xda\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x\x03 \x00x\x03 \x00\x80\x03 \x00\x80\x03 \x00\x88\x03 \x00\x88\x03 \x00\xc8\xc1$w\x00\x00\x88y\x00\xae\xe4i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200328 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\x04 \x00(\x03 \x00\xb0\x04 \x000\x03 \x00\xb8\x04 \x008\x03 \x00\x00\x00Uq\xe8\x1dUq\x00\x00\x01\x00x\x00z\x00@\xa1#\x00\x1c\x00\x1e\x00\x9c\xa1#\x00\x04@\x08\x80\x01\x00\x00\x00\xd8\xa5,w\xd8\xa5,w\xae\xd8\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xf8\x03 \x00\xf8\x03 \x00\x00\x04 \x00\x00\x04 \x00\x90\xac#\x00x\xac#\x00\xc8\xc1$w\x00\x00\x93`05\xe6i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x002003a8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x05 \x00\xa8\x03 \x000\x05 \x00\xb0\x03 \x008\x05 \x00\xb8\x03 \x00\x00\x00\xfcv\x13]\x01w\x00\xc0\x15\x00:\x00<\x000p \x00\x12\x00\x14\x00Xp \x00\x04@\x08\x80\x03\x00\x00\x00H\xa6,w\x14\x19\x1f\x00\xc7\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\x04 \x00\xf8\x04 \x00\x00\x05 \x00\x00\x05 \x00p&$\x00\xd0> \x00\xe4\xc1$w\x00\x00Tr\x90C\xe9i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x002004a8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x06 \x00\xa8\x04 \x000\x06 \x00\xb0\x04 \x008\x06 \x00\xb8\x04 \x00\x00\x00)u\xe1\x10)u\x00\xc0\x00\x00B\x00D\x00\xa8J!\x00\x1a\x00\x1c\x00\xd0J!\x00\x04@\x08\x80\x01\x00\x00\x00\x08\xa6,w\x08\xa6,wA\xbf[J\x00\x00\x00\x00\x00\x00\x00\x00x\x05 \x00x\x05 \x00\x80\x05 \x00\x80\x05 \x00\xb8&$\x00\x88&$\x00\xe4\xc1$w\x00\x00\x00\x10\x90C\xe9i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200528 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (
\x00(\x05 \x000
\x000\x05 \x008
\x008\x05 \x00\x00\x00\xf2f\x88\xc9\xf6f\x00\x00\x06\x00p\x00r\x00\xa8\x05 \x00\x14\x00\x16\x00\x04\x06 \x00\x04@\x0c\x80\x01\x00\x00\x000\xa6,w\x84\xf4\x1f\x006\xda\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x\x06 \x00x\x06 \x00\x80\x06 \x00\x80\x06 \x00\xf0'$\x00\xd8'$\x00\xc8\xc1$w\x00\x00\x81y\xf0Q\xeci|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200628 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8
\x00(\x06 \x00\xb0
\x000\x06 \x00\xb8
\x008\x06 \x00\x00\x00Jd\x00\x00\x00\x00\x00\x80\x89\x00\xc8\x00\xca\x00h\xfc$\x00\x1a\x00\x1c\x00\x16\xfd$\x00\x04@\x00\x80\x01\x00\x00\x00 \xa6,w\xe4\xfd\x1f\x00\xf4\xdf\xa1K\x00\x00\x00\x00\x00\x00\x00\x00x
\x00x
\x00\x80
\x00\x80
\x00\x88
\x00\x88
\x00\xc8\xc1$w\x00\x00\x82z@\x04\xf7i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200a28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x0b \x00(
\x000\x0b \x000
\x008\x0b \x008
\x00\x00\x00\xdec\x00\x00\x00\x00\x00`k\x00\xdc\x00\xde\x00\xc0
%\x00$\x00&\x00x\x0e%\x00\x04@\x00\x80\x01\x00\x00\x00h\xa6,w\xe4\x01 \x00\xee\xdf\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xf8
\x00\xf8
\x00\x00\x0b \x00\x00\x0b \x00\x08\x0b \x00\x08\x0b \x00\xc8\xc1$w\x00\x00\xe5`p\x8b\xf8i|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200aa8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8\x0b \x00\xa8
\x00\xb0\x0b \x00\xb0
\x008\x0c \x00\xb8
\x00\x00\x00\xedtt5\xedt\x00p\x01\x00<\x00>\x008w \x00\x14\x00\x16\x00`w \x00\x04@\x0c\x80\x01\x00\x00\x00\xd0\xa5,w\xd0\xa5,w\x86\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00x\x0b \x00x\x0b \x00\x80\x0b \x00\x80\x0b \x00\x80 %\x00\xc8 %\x00\xe4\xc1$w\x00\x00\x80m\x00!\xfdi|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200b28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (\x0c \x00(\x0b \x000\x0c \x000\x0b \x008
\x008\x0c \x00\x00\x003l\xd0\x113l\x00P\x00\x00@\x00B\x00\xd8Q!\x00\x18\x00\x1a\x00\x00R!\x00\x04@\x0c\x80\x01\x00\x00\x00d
\x00d\x01 \x00\x02\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\x0b \x00\xf8\x0b \x00\x00\x0c \x00\x00\x0c \x00\xe8
%\x00\xb8
%\x00\xe4\xc1$w\x00\x00\xf5?\x00!\xfdi|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200ba8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => (
\x00\xa8\x0b \x000
\x00\xb0\x0b \x00\xb8\x0b \x008\x0b \x00\x00\x00juZ\xd4qu\x00\x90\xc4\x00>\x00@\x00\xf0v \x00\x16\x00\x18\x00\x18w \x00\x04@\x0c\x80\x01\x00\x00\x00\xe4
\x00\\xf2\x1f\x00\x01\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00x\x0c \x00x\x0c \x00\x80\x0c \x00\x80\x0c \x00\xa0
%\x00\x10
%\x00\xe4\xc1$w\x00\x00\x80s\x00!\xfdi|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200c28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xa8
\x00(\x0c \x00\xb0
\x000\x0c \x00\xb8
\x00\xb8\x0b \x00\x00\x00"u\xcd,"u\x00\xa0\x01\x00>\x00@\x00\xc8w \x00\x16\x00\x18\x00\xf0w \x00\x04@\x0c\x80\x01\x00\x00\x00\xb8\xa6,w\xe4\x0b \x00<\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00x
\x00x
\x00\x80
\x00\x80
\x00x\x0b%\x00\x18\x0b%\x00\xe4\xc1$w\x00\x00"\x020\xa8\xfei|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200d28 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x8cx,w(
\x00\x94x,w0
\x00\x9cx,w8
\x00\x00\x00\x87v8\x14\x87v\x00P\x00\x00:\x00<\x00xp \x00\x12\x00\x14\x00\xa0p \x00\x04@\x0c\x80\x01\x00\x00\x00\x88\xa6,wd\x0c \x00\xce\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8
\x00\xf8
\x00\x00\x0e \x00\x00\x0e \x00\x08\x0c%\x00\x08\x0c%\x00\xe4\xc1$w\x00\x00\xaa}\xc0=\x03j|g\xd0\x01 ProcessHandle => 0x00000230 BaseAddress => 0x00200da8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x00000230 BaseAddress => 0x7ffd800c |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xe0\x18\x1f\x00 ProcessHandle => 0x00000230 BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\x19\x1f\x00\x8cx,w`\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xcc\x00N\xa1\xe7\x00\x00\x80\x1c\x00X\x00Z\x00\x14\x17\x1f\x00\x0e\x00\x10\x00^\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xe4\x04 \x00H\xa6,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00(\x19\x1f\x00(\x19\x1f\x000\x19\x1f\x000\x19\x1f\x00\xe0\xe2\x1f\x00\xe0\xe2\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f18d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x00000230 BaseAddress => 0x7ffd800c |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xe0\x18\x1f\x00 ProcessHandle => 0x00000230 BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\x19\x1f\x00\x8cx,w`\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xcc\x00N\xa1\xe7\x00\x00\x80\x1c\x00X\x00Z\x00\x14\x17\x1f\x00\x0e\x00\x10\x00^\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xe4\x04 \x00H\xa6,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00(\x19\x1f\x00(\x19\x1f\x000\x19\x1f\x000\x19\x1f\x00\xe0\xe2\x1f\x00\xe0\xe2\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f18d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => 5\x005\x005\x00.\x00e\x00x\x00e\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f175e |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x00000230 BaseAddress => 0x7ffd800c |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => \xe0\x18\x1f\x00 ProcessHandle => 0x00000230 BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => X\x19\x1f\x00\x8cx,w`\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xcc\x00N\xa1\xe7\x00\x00\x80\x1c\x00X\x00Z\x00\x14\x17\x1f\x00\x0e\x00\x10\x00^\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xe4\x04 \x00H\xa6,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00(\x19\x1f\x00(\x19\x1f\x000\x19\x1f\x000\x19\x1f\x00\xe0\xe2\x1f\x00\xe0\xe2\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f18d8 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | NtReadVirtualMemory |
Buffer => C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00L\x00o\x00c\x00a\x00l\x00\\x00T\x00e\x00m\x00p\x00\\x005\x005\x005\x00.\x00e\x00x\x00e\x00\x00\x00 ProcessHandle => 0x00000230 BaseAddress => 0x001f1714 |
SUCCESS | 0x00000000 | |
| 23:22:04,595 | 2608 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a9d0 | |
| 23:22:04,595 | 2608 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a9d0 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CopyFile FunctionAddress => 0x0430b16e ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,595 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CopyFileW FunctionAddress => 0x767c8c8f ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2608 | CopyFileW |
ExistingFileName => C:\Users\Administrator\AppData\Local\Temp\555.exe NewFileName => C:\Users\Administrator\AppData\Roaming\svchost.exe |
SUCCESS | 0x00000001 | |
| 23:22:04,605 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetFileAttributes FunctionAddress => 0x04a787df ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:04,605 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetFileAttributesW FunctionAddress => 0x767d0883 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2608 | NtOpenFile |
ShareAccess => 7 FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe DesiredAccess => 0x00100100 FileHandle => 0x00000234 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2608 | NtSetInformationFile |
FileHandle => 0x00000234 FileInformation => |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LocalAlloc FunctionAddress => 0x767e0594 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RtlMoveMemory FunctionAddress => 0x77225120 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2608 | CreateThread |
ThreadId => 2356 StartRoutine => 0x65bc59c0 Parameter => 0x00241c30 CreationFlags => 4 |
SUCCESS | 0x00000240 | |
| 23:22:04,605 | 2608 | NtResumeThread |
SuspendCount => 1 ThreadHandle => 0x00000240 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,605 | 2356 | DeviceIoControl |
DeviceHandle => 0x000001c0 OutBuffer => \x8e\\xf1\xeca\xf5\x17\x07\xa8\xa6\xa5\xe1qb\x0e\xd3 \xa9\xa5\xc7u\xa8\xc7J\xca\x90\xb266D,\x9c\xa7\x1b\xe0"6H\xb3\x05BYr\x83\x14b\xe5\xb1 IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:04,605 | 2356 | LdrLoadDll |
Flags => 87093760 BaseAddress => 0x73fb0000 FileName => C:\Windows\system32\uxtheme.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ThemeInitApiHook FunctionAddress => 0x73fbb176 ModuleHandle => 0x73fb0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | GetSystemMetrics |
SystemMetricIndex => 31 |
SUCCESS | 0x00000015 | |
| 23:22:04,605 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530f034 SectionHandle => 0x0000025c ProcessHandle => 0xffffffff BaseAddress => 0x05310000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76880000 FileName => user32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => IsProcessDPIAware FunctionAddress => 0x76893919 ModuleHandle => 0x76880000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | GetSystemMetrics |
SystemMetricIndex => 31 |
SUCCESS | 0x00000015 | 1 time |
| 23:22:04,605 | 2356 | LdrLoadDll |
Flags => 87090740 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\shell32.dll |
FAILURE | 0xc0000135 | |
| 23:22:04,605 | 2356 | LdrLoadDll |
Flags => 87090740 BaseAddress => 0x756a0000 FileName => shell32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ShellExecuteEx FunctionAddress => 0x758e9b0a ModuleHandle => 0x756a0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ShellExecuteExW FunctionAddress => 0x756c1b8c ModuleHandle => 0x756a0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000260 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000260 ValueName => MaximizeApps |
FAILURE | 0xc0000034 | |
| 23:22:04,605 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000260 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000260 ValueName => MaximizeApps |
FAILURE | 0xc0000034 | |
| 23:22:04,605 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000260 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000260 ValueName => EnableShellExecuteHooks |
FAILURE | 0xc0000034 | |
| 23:22:04,605 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000260 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000260 ValueName => EnableShellExecuteHooks |
FAILURE | 0xc0000034 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoInitializeEx FunctionAddress => 0x77000804 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateBindCtx FunctionAddress => 0x77005cf9 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrLoadDll |
Flags => 87093004 BaseAddress => 0x741d0000 FileName => PROPSYS.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSCreateMemoryPropertyStore FunctionAddress => 0x741e391c ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSPropertyBag_WriteDWORD FunctionAddress => 0x741e4343 ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrLoadDll |
Flags => 87093632 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemAlloc FunctionAddress => 0x77014054 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetApartmentType FunctionAddress => 0x7700674e ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoRegisterInitializeSpy FunctionAddress => 0x7700683e ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoPropertiesMyComputer |
FAILURE | 0xc0000034 | |
| 23:22:04,605 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoPropertiesMyComputer |
FAILURE | 0xc0000034 | |
| 23:22:04,605 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,605 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoPropertiesRecycleBin |
FAILURE | 0xc0000034 | |
| 23:22:04,605 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoPropertiesRecycleBin |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoControlPanel |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoControlPanel |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoSetFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoSetFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoInternetIcon |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000268 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => NoInternetIcon |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000000 ObjectAttributes => SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Applications\555.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemFree FunctionAddress => 0x77014003 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000268 ObjectAttributes => \Registry\MACHINE\Software\Microsoft\Windows\CurrentVersion\SideBySide |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000268 ValueName => PreferExternalManifest |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenFile |
ShareAccess => 5 FileName => C:\Windows\system32\SHELL32.dll DesiredAccess => 0x00120089 FileHandle => 0x00000268 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000268 FileInformation => \xe7\x1c\xf1S\x14\x04\xca\x01\xd0\xfe\xb8\x9a(g\xd0\x01\xb0\xe3r\xae \x04\xca\x010\xca\x1ds\xa0\xb2\xcf\x01 \x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrLoadDll |
Flags => 87091744 BaseAddress => 0x74030000 FileName => comctl32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrLoadDll |
Flags => 87092360 BaseAddress => 0x74030000 FileName => comctl32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 236 FunctionName => FunctionAddress => 0x74062309 ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrLoadDll |
Flags => 87092372 BaseAddress => 0x76f30000 FileName => OLEAUT32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 6 FunctionName => FunctionAddress => 0x76f33e59 ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemAlloc FunctionAddress => 0x77014054 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetMalloc FunctionAddress => 0x77002bbc ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000278 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000278 ValueName => NoCommonGroups |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000278 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000278 ValueName => NoCommonGroups |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSPropertyBag_ReadDWORD FunctionAddress => 0x741e42ec ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 320 FunctionName => FunctionAddress => 0x740667db ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x00000278 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => CallForAttributes |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => RestrictedAttributes |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => WantsFORDISPLAY |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => HideFolderVerbs |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => UseDropHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => WantsFORPARSING |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => WantsParseDisplayName |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => QueryForOverlay |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => MapNetDriveVerbs |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => QueryForInfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => HideInWebView |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000276 ValueName => HideOnDesktopPerUser Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => WantsAliasedNotifications |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => WantsUniversalDelegate |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => NoFileFolderJunction |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000276 ValueName => PinToNameSpaceTree Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000276 ValueName => HasNavigationEnum |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellFolder |
FAILURE | 0xc0000034 | 1 time |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => {20D04FE0-3AEA-1069-A2D8-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 324 FunctionName => FunctionAddress => 0x74062893 ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 323 FunctionName => FunctionAddress => 0x740667b0 ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 8 KeyHandle => 0x00000000 ObjectAttributes => Drive\shellex\FolderExtensions |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 8 KeyHandle => 0x00000274 ObjectAttributes => \Registry\Machine\Software\Classes\Drive\shellex\FolderExtensions |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrLoadDll |
Flags => 87092868 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegEnumKeyW FunctionAddress => 0x7656baa9 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | RegEnumKeyW |
Handle => 0x00000276 Name => {fbeb8a05-beee-4442-804e-409d6c4515e9} Index => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9} |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000027c ObjectAttributes => \Registry\Machine\Software\Classes\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9} |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027e KeyInformation => \xef\xff\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00r\x00i\x00v\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00E\x00x\x00t\x00e\x00n\x00s\x00i\x00o\x00n\x00s\x00\\x00{\x00f\x00b\x00e\x00b\x008\x00a\x000\x005\x00-\x00b\x00e\x00e\x00e\x00-\x004\x004\x004\x002\x00-\x008\x000\x004\x00e\x00-\x004\x000\x009\x00d\x006\x00c\x004\x005\x001\x005\x00e\x009\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Drive\shellex\FolderExtensions\{fbeb8a05-beee-4442-804e-409d6c4515e9} |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 32 KeyHandle => 0x0000027e ValueName => DriveMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | RegEnumKeyW |
Handle => 0x00000276 Name => {fbeb8a05-beee-4442-804e-409d6c4515e9} Index => 1 |
FAILURE | 0x00000103 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 2 FunctionName => FunctionAddress => 0x76f34642 ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSPropertyBag_ReadBSTR FunctionAddress => 0x741e3f13 ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSPropertyBag_ReadStrAlloc FunctionAddress => 0x741e3f6c ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => AllowFileCLSIDJunctions |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => AllowFileCLSIDJunctions |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | LdrLoadDll |
Flags => 87089152 BaseAddress => 0x756a0000 FileName => SHELL32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | LdrGetProcedureAddress |
Ordinal => 102 FunctionName => FunctionAddress => 0x7573f5cd ModuleHandle => 0x756a0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => DontShowSuperHidden |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => DontShowSuperHidden |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => KeyHandle => 0x00000274 ValueName => ShellState Type => 3 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => NoWebView |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => NoWebView |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => ClassicShell |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => ClassicShell |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => SeparateProcess |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => SeparateProcess |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => NoNetCrawling |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => NoNetCrawling |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => NoSimpleStartMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => NoSimpleStartMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => Advanced |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => Hidden Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => ShowCompColor Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000274 ValueName => HideFileExt Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000274 ValueName => DontPrettyPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => ShowInfoTip Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000274 ValueName => HideIcons Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000274 ValueName => MapNetDrvBtn Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => WebView Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000274 ValueName => Filter Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => ShowSuperHidden Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000274 ValueName => SeparateProcess Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => NoNetCrawling |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000274 ValueName => AutoCheckSelect Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000274 ValueName => IconsOnly Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => ShowTypeOverlay Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
Information => e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x00000276 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => .exe\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\.exe\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000274 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 7 ValueCount => 0 MaxSubKeyLength => 0 KeyHandle => 0x00000274 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | RegEnumValueW |
Index => 0 Handle => 0x00000274 DataLength => 0 ValueName => exefile Type => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | RegEnumValueW |
Index => 1 Handle => 0x00000274 DataLength => 0 ValueName => exefile Type => 87089664 |
FAILURE | 0x00000103 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000274 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000027c ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000280 ObjectAttributes => .exe |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000284 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => UserChoice |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000284 ObjectAttributes => \Registry\Machine\Software\Classes\exefile |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000280 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000284 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000280 ObjectAttributes => \Registry\Machine\Software\Classes\SystemFileAssociations\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe\ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000286 ValueName => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000282 ValueName => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe\DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000286 ValueName => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,615 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,615 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000282 ValueName => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe\BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => a\x00p\x00p\x00l\x00i\x00c\x00a\x00t\x00i\x00o\x00n\x00/\x00x\x00-\x00m\x00s\x00d\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00\x00\x00 KeyHandle => 0x00000276 ValueName => Content Type Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe\Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000286 ValueName => IsShortcut |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000282 ValueName => IsShortcut |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000286 ValueName => AlwaysShowExt |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000282 ValueName => AlwaysShowExt |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000286 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000286 ValueName => NeverShowExt |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000282 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000282 ValueName => NeverShowExt |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000284 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000274 ObjectAttributes => {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x00000274 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => D\x00e\x00s\x00k\x00t\x00o\x00p\x00\x00\x00 KeyHandle => 0x00000274 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => D\x00e\x00s\x00k\x00t\x00o\x00p\x00\x00\x00 KeyHandle => 0x00000274 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x006\x009\x00\x00\x00 KeyHandle => 0x00000274 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x008\x003\x00\x00\x00 KeyHandle => 0x00000274 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000274 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000274 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000284 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000274 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000274 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000280 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00D\x00e\x00s\x00k\x00t\x00o\x00p\x00\x00\x00 KeyHandle => 0x00000280 ValueName => Desktop Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoCreateInstance FunctionAddress => 0x770157fc ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CLSIDFromOle1Class FunctionAddress => 0x76fe529c ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x00000274 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\__ComCatalogCache__ SectionHandle => 0x00000280 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530d1b4 SectionHandle => 0x00000280 ProcessHandle => 0xffffffff BaseAddress => 0x00990000 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131353 KeyHandle => 0x00000288 ObjectAttributes => Software\Microsoft\COM3 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000288 ValueName => Com+Enabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | LdrLoadDll |
Flags => 87085380 BaseAddress => 0x77340000 FileName => CLBCatQ.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCatalogObject FunctionAddress => 0x77342ea4 ModuleHandle => 0x77340000 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCatalogObject2 FunctionAddress => 0x773436b6 ModuleHandle => 0x77340000 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\__ComCatalogCache__ SectionHandle => 0x0000028c |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530cfe0 SectionHandle => 0x0000028c ProcessHandle => 0xffffffff BaseAddress => 0x00ab0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D} |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000290 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D} |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d} |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => M\x00e\x00m\x00o\x00r\x00y\x00 \x00M\x00a\x00p\x00p\x00e\x00d\x00 \x00C\x00a\x00c\x00h\x00e\x00 \x00M\x00g\x00r\x00\x00\x00 KeyHandle => 0x00000292 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d} |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => M\x00e\x00m\x00o\x00r\x00y\x00 \x00M\x00a\x00p\x00p\x00e\x00d\x00 \x00C\x00a\x00c\x00h\x00e\x00 \x00M\x00g\x00r\x00\x00\x00 KeyHandle => 0x00000292 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000294 ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000296 ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00p\x00r\x00o\x00p\x00s\x00y\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000296 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00p\x00r\x00o\x00p\x00s\x00y\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000296 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00p\x00r\x00o\x00p\x00s\x00y\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000296 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x00000296 ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000290 ObjectAttributes => Software\Microsoft\OLE |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000290 ValueName => MaxSxSHashCount |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x00000294 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D} |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000290 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D} |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000292 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00f\x004\x008\x006\x00a\x005\x002\x00-\x003\x00c\x00b\x001\x00-\x004\x008\x00f\x00d\x00-\x008\x00f\x005\x000\x00-\x00b\x008\x00d\x00c\x003\x000\x000\x00d\x009\x00f\x009\x00d\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | LdrLoadDll |
Flags => 87081844 BaseAddress => 0x741d0000 FileName => C:\Windows\system32\propsys.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllGetClassObject FunctionAddress => 0x741d9aed ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllCanUnloadNow FunctionAddress => 0x741d3695 ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,625 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Local\C:*Users*Administrator*AppData*Local*Microsoft*Windows*Caches*cversions.1 SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Local\C:*Users*Administrator*AppData*Local*Microsoft*Windows*Caches*cversions.1.ro SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | CreateDirectoryW |
DirectoryName => C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches |
FAILURE | 0x00000000 | |
| 23:22:04,625 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches\cversions.1.db DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Local\C:*Users*Administrator*AppData*Local*Microsoft*Windows*Caches*cversions.1 SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Local\C:*Users*Administrator*AppData*Local*Microsoft*Windows*Caches*cversions.1.ro SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,625 | 2356 | CreateDirectoryW |
DirectoryName => C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches |
FAILURE | 0x00000000 | |
| 23:22:04,625 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches\cversions.1.db DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,655 | 2356 | DeleteFileW |
FileName => C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches\{AFBF9F1A-8EE8-4C77-AF34-C647E37CA0D9}.1.ver0x0000000000000000.db |
FAILURE | 0x00000000 | |
| 23:22:04,655 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Desktop\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,655 | 2356 | NtOpenSection |
DesiredAccess => 0x00000006 ObjectAttributes => C:\Global\windows_shell_global_counters SectionHandle => 0x00000290 |
SUCCESS | 0x00000000 | |
| 23:22:04,655 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530d344 SectionHandle => 0x00000290 ProcessHandle => 0xffffffff BaseAddress => 0x00ac0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoUninitialize FunctionAddress => 0x770070c7 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\Shell\RegisteredApplications\UrlAssociations\Directory\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\Shell\Associations\UrlAssociations\Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000294 ObjectAttributes => \Registry\Machine\Software\Classes\Directory |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory\CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000294 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory\ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Folder |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => \Registry\Machine\Software\Classes\Folder |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => R\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Folder\ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000029c ObjectAttributes => \Registry\Machine\Software\Classes\AllFilesystemObjects |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\IconHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000296 ValueName => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory\DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => R\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Folder |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029a ValueName => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => R\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Folder\DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DocObject |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000296 ValueName => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory\BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => R\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Folder |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029a ValueName => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => R\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Folder\BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => BrowseInPlace |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory\Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => R\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Folder\Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000296 ValueName => IsShortcut |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => R\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Folder |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029a ValueName => IsShortcut |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => IsShortcut |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000296 ValueName => AlwaysShowExt Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000296 KeyInformation => X\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00D\x00i\x00r\x00e\x00c\x00t\x00o\x00r\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Directory |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000296 ValueName => NeverShowExt |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => R\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Folder |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029a ValueName => NeverShowExt |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => NeverShowExt |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000294 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => {1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE} |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x00000298 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => L\x00i\x00b\x00r\x00a\x00r\x00i\x00e\x00s\x00\x00\x00 KeyHandle => 0x00000298 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x00000298 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00L\x00i\x00b\x00r\x00a\x00r\x00i\x00e\x00s\x00\x00\x00 KeyHandle => 0x00000298 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000298 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000298 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000298 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000294 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000294 ValueName => {1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE} |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000298 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00R\x00o\x00a\x00m\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x00000294 ValueName => AppData Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000294 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => {5E6C858F-0E22-4760-9AFE-EA3317B67173} |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x00000298 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x00000298 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,665 | 2356 | LdrLoadDll |
Flags => 87084052 BaseAddress => 0x771d0000 FileName => API-MS-Win-Security-SDDL-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ConvertSidToStringSidW FunctionAddress => 0x771da901 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | LdrLoadDll |
Flags => 87084092 BaseAddress => 0x75340000 FileName => profapi.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | LdrGetProcedureAddress |
Ordinal => 104 FunctionName => FunctionAddress => 0x7534147a ModuleHandle => 0x75340000 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000029c ObjectAttributes => Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,665 | 2356 | NtQueryValueKey |
Information => C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00\x00\x00 KeyHandle => 0x0000029c ValueName => ProfileImagePath Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,665 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000029c ObjectAttributes => {F3CE0F7C-4901-4ACC-8648-D5D44B04EF8F} |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x0000029c ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => U\x00s\x00e\x00r\x00s\x00F\x00i\x00l\x00e\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x0000029c ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\x00\x00 KeyHandle => 0x0000029c ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{59031A47-3F72-44A7-89C5-5595FE6B30EE}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000029c ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{59031A47-3F72-44A7-89C5-5595FE6B30EE}\ShellFolder |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => 4035182893 KeyHandle => 0x0000029e ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => CallForAttributes |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => RestrictedAttributes |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000029e ValueName => WantsFORDISPLAY Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => HideFolderVerbs |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => UseDropHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000029e ValueName => WantsFORPARSING Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => WantsParseDisplayName |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000029e ValueName => QueryForOverlay Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => MapNetDriveVerbs |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => QueryForInfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => HideInWebView |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000029e ValueName => HideOnDesktopPerUser Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => WantsAliasedNotifications |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => WantsUniversalDelegate |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => NoFileFolderJunction |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => PinToNameSpaceTree |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{59031a47-3f72-44a7-89c5-5595fe6b30ee}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => HasNavigationEnum |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{59031A47-3F72-44A7-89C5-5595FE6B30EE}\ShellFolder |
FAILURE | 0xc0000034 | 1 time |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000029c ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000029c ValueName => {59031A47-3F72-44A7-89C5-5595FE6B30EE} |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x03ee3598 FileName => EXPLORER.EXE |
FAILURE | 0xc0000135 | 1 time |
| 23:22:04,675 | 2356 | LdrGetProcedureAddress |
Ordinal => 417 FunctionName => FunctionAddress => 0x741d6ac5 ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A} |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000029c ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A} |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a} |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00 \x00S\x00y\x00s\x00t\x00e\x00m\x00 \x00B\x00o\x00t\x00h\x00 \x00C\x00l\x00a\x00s\x00s\x00 \x00F\x00a\x00c\x00t\x00o\x00r\x00y\x00\x00\x00 KeyHandle => 0x0000029e ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a} |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00 \x00S\x00y\x00s\x00t\x00e\x00m\x00 \x00B\x00o\x00t\x00h\x00 \x00C\x00l\x00a\x00s\x00s\x00 \x00F\x00a\x00c\x00t\x00o\x00r\x00y\x00\x00\x00 KeyHandle => 0x0000029e ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002a0 ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002a2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002a2 ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002a2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00p\x00r\x00o\x00p\x00s\x00y\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002a2 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002a2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00p\x00r\x00o\x00p\x00s\x00y\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002a2 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002a2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00p\x00r\x00o\x00p\x00s\x00y\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002a2 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002a2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x000002a2 ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002a0 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002a2 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A} |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000029c ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A} |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x006\x007\x006\x005\x00b\x001\x001\x00-\x003\x00f\x009\x005\x00-\x004\x00a\x00f\x002\x00-\x00a\x00c\x009\x00d\x00-\x00e\x00a\x005\x005\x00d\x008\x009\x009\x004\x00f\x001\x00a\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{76765b11-3f95-4af2-ac9d-ea55d8994f1a}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x00000000 FileName => EXPLORER.EXE |
FAILURE | 0xc0000135 | 1 time |
| 23:22:04,675 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\C:*ProgramData*Microsoft*Windows*Caches*cversions.2 SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Local\C:*ProgramData*Microsoft*Windows*Caches*cversions.2 SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,675 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro SectionHandle => 0x0000029c |
SUCCESS | 0x00000000 | |
| 23:22:04,675 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530d900 SectionHandle => 0x0000029c ProcessHandle => 0xffffffff BaseAddress => 0x00ad0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\C:*ProgramData*Microsoft*Windows*Caches*{6AF0698E-D558-4F6E-9B3C-3716689AF493}.2.ver0x0000000000000003.db SectionHandle => 0x000002a0 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530df40 SectionHandle => 0x000002a0 ProcessHandle => 0xffffffff BaseAddress => 0x00ae0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\C:*ProgramData*Microsoft*Windows*Caches*cversions.2 SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Local\C:*ProgramData*Microsoft*Windows*Caches*cversions.2 SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro SectionHandle => 0x000002a4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530d8c8 SectionHandle => 0x000002a4 ProcessHandle => 0xffffffff BaseAddress => 0x00b10000 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\C:*ProgramData*Microsoft*Windows*Caches*{DDF571F2-BE98-426D-8288-1A9A39C3FDA2}.2.ver0x0000000000000001.db SectionHandle => 0x000002a8 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530df08 SectionHandle => 0x000002a8 ProcessHandle => 0xffffffff BaseAddress => 0x00c20000 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PropVariantClear FunctionAddress => 0x770066b8 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | LdrGetProcedureAddress |
Ordinal => 9 FunctionName => FunctionAddress => 0x76f33eae ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | LdrGetProcedureAddress |
Ordinal => 328 FunctionName => FunctionAddress => 0x740666dd ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ac ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {0139D44E-6AFE-49F2-8690-3DAFCAE6FFB8} Index => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {054FAE61-4DD8-4787-80B6-090220C4B700} Index => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {0762D272-C50A-4BB0-A382-697DCD729B80} Index => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {0AC0837C-BBF8-452A-850D-79D08E667CA7} Index => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {0F214138-B1D3-4a90-BBA9-27CBC0C5389A} Index => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {10C07CD0-EF91-4567-B850-448B77CB37F9} Index => 5 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {15CA69B3-30EE-49C1-ACE1-6B5EC372AFB5} Index => 6 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {1777F761-68AD-4D8A-87BD-30B759FA33DD} Index => 7 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {18989B1D-99B5-455B-841C-AB7C74E4DDFC} Index => 8 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {190337d1-b8ca-4121-a639-6d472d16972a} Index => 9 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {1A6FDBA2-F42D-4358-A798-B74D745926C5} Index => 10 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {1AC14E77-02E7-4E5D-B744-2EB1AE5198B7} Index => 11 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE} Index => 12 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {2112AB0A-C86A-4ffe-A368-0DE96E47012E} Index => 13 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {2400183A-6185-49FB-A2D8-4A392A602BA3} Index => 14 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {289A9A43-BE44-4057-A41B-587A76D7E7F9} Index => 15 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {2A00375E-224C-49DE-B8D1-440DF7EF3DDC} Index => 16 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {2B0F765D-C0E9-4171-908E-08A611B84FF6} Index => 17 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {2C36C0AA-5812-4b87-BFD0-4CD0DFB19B39} Index => 18 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {3214FAB5-9757-4298-BB61-92A9DEAA44FF} Index => 19 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {33E28130-4E1E-4676-835A-98395C3BC3BB} Index => 20 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {352481E8-33BE-4251-BA85-6007CAEDCF9D} Index => 21 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {374DE290-123F-4565-9164-39C4925E467B} Index => 22 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {3D644C9B-1FB8-4f30-9B45-F670235F79C0} Index => 23 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {3EB685DB-65F9-4CF6-A03A-E3EF65729F3D} Index => 24 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {43668BF8-C14E-49B2-97C9-747784D784B7} Index => 25 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {48daf80b-e6cf-4f4e-b800-0e69d84ee384} Index => 26 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {491E922F-5643-4af4-A7EB-4E7A138D8174} Index => 27 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {4BD8D571-6D19-48D3-BE97-422220080E43} Index => 28 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {4BFEFB45-347D-4006-A5BE-AC0CB0567192} Index => 29 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {4C5C32FF-BB9D-43b0-B5B4-2D72E54EAAA4} Index => 30 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {4D9F7874-4E0C-4904-967B-40B0D20C3E4B} Index => 31 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {52528A6B-B9E3-4add-B60D-588C2DBA842D} Index => 32 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {52a4f021-7b75-48a9-9f6b-4b87a210bc8f} Index => 33 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {54EED2E0-E7CA-4fdb-9148-0F4247291CFA} Index => 34 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {56784854-C6CB-462B-8169-88E350ACB882} Index => 35 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {5cd7aee2-2219-4a67-b85d-6c9ce15660cb} Index => 36 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {5CE4A5E9-E4EB-479D-B89F-130C02886155} Index => 37 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {5E6C858F-0E22-4760-9AFE-EA3317B67173} Index => 38 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {625B53C3-AB48-4EC1-BA1F-A1EF4146FC19} Index => 39 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {62AB5D82-FDC1-4DC3-A9DD-070D1D495D97} Index => 40 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {69D2CF90-FC33-4FB7-9A0C-EBB0F0FCB43C} Index => 41 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {6F0CD92B-2E97-45D1-88FF-B0D186B8DEDD} Index => 42 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {724EF170-A42D-4FEF-9F26-B60E846FBA4F} Index => 43 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {76FC4E2D-D6AD-4519-A663-37BD56068185} Index => 44 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {7b0db17d-9cd2-4a93-9733-46cc89022e7c} Index => 45 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {7B396E54-9EC5-4300-BE0A-2482EBAE1A26} Index => 46 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E} Index => 47 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {7d1d3a04-debb-4115-95cf-2f29da2920da} Index => 48 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {82A5EA35-D9CD-47C5-9629-E15D2F714E6E} Index => 49 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {82A74AEB-AEB4-465C-A014-D097EE346D63} Index => 50 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {859EAD94-2E85-48AD-A71A-0969CB56A6CD} Index => 51 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {8983036C-27C0-404B-8F08-102D10DCFD74} Index => 52 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {8AD10C31-2ADB-4296-A8F7-E4701232C972} Index => 53 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {905e63b6-c1bf-494e-b29c-65b732d3d21a} Index => 54 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {915221FB-9EFE-4bda-8FD7-F78DCA774F87} Index => 55 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {9274BD8D-CFD1-41C3-B35E-B13F55A758F4} Index => 56 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {98EC0E18-2098-4D44-8644-66979315A281} Index => 57 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {9E52AB10-F80D-49DF-ACB8-4330F5687855} Index => 58 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {A302545D-DEFF-464b-ABE8-61C8648D939B} Index => 59 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {a305ce99-f527-492b-8b1a-7e76fa98d6e4} Index => 60 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {A4115719-D62E-491D-AA7C-E74B8BE3B067} Index => 61 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {A520A1A4-1780-4FF6-BD18-167343C5AF16} Index => 62 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {A63293E8-664E-48DB-A079-DF759E0509F7} Index => 63 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {A75D362E-50FC-4fb7-AC2C-A8BEAA314493} Index => 64 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {A77F5D77-2E2B-44C3-A6A2-ABA601054A51} Index => 65 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {A990AE9F-A03B-4e80-94BC-9912D7504104} Index => 66 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {AE50C081-EBD2-438A-8655-8A092E34987A} Index => 67 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {B250C668-F57D-4EE1-A63C-290EE7D1AA1F} Index => 68 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {B4BFCC3A-DB2C-424C-B029-7FE99A87C641} Index => 69 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {B6EBFB86-6907-413C-9AF7-4FC2ABF07CC5} Index => 70 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {B7534046-3ECB-4C18-BE4E-64CD4CB7D6AC} Index => 71 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {B88F4DAA-E7BD-49a9-B74D-02885A5DC765} Index => 72 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {B94237E7-57AC-4347-9151-B08C6C32D1F7} Index => 73 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {B97D20BB-F46A-4C97-BA10-5E3608430854} Index => 74 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {bcb5256f-79f6-4cee-b725-dc34e402fd46} Index => 75 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {bcbd3057-ca5c-4622-b42d-bc56db0ae516} Index => 76 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {bfb9d5e0-c6a9-404c-b2b2-ae6db6af4968} Index => 77 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {C1BAE2D0-10DF-4334-BEDD-7AA20B227A9D} Index => 78 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {C4900540-2379-4C75-844B-64E6FAF8716B} Index => 79 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {C4AA340D-F20F-4863-AFEF-F87EF2E6BA25} Index => 80 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {C5ABBF53-E17F-4121-8900-86626FC2C973} Index => 81 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {C870044B-F49E-4126-A9C3-B52A1FF411E8} Index => 82 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {CAC52C1A-B53D-4edc-92D7-6B2E8AC19434} Index => 83 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {D0384E7D-BAC3-4797-8F14-CBA229B392B5} Index => 84 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {D20BEEC4-5CA8-4905-AE3B-BF251EA09B53} Index => 85 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {D65231B0-B2F1-4857-A4CE-A8E7C6EA7D27} Index => 86 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {D9DC8A3B-B784-432E-A781-5A1130A75963} Index => 87 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {de61d971-5ebc-4f02-a3a9-6c82895e5c04} Index => 88 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {DE92C1C7-837F-4F69-A3BB-86E631204A23} Index => 89 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {DE974D24-D9C6-4D3E-BF91-F4455120B917} Index => 90 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {DEBF2536-E1A8-4c59-B6A2-414586476AEA} Index => 91 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {df7266ac-9274-4867-8d55-3bd661de872d} Index => 92 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {DFDF76A2-C82A-4D63-906A-5644AC457385} Index => 93 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {E555AB60-153B-4D17-9F04-A5FE99FC15EC} Index => 94 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {ED4824AF-DCE4-45A8-81E2-FC7965083634} Index => 95 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {EE32E446-31CA-4ABA-814F-A5EBD2FD6D5E} Index => 96 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {F1B32785-6FBA-4FCF-9D55-7B8E7F157091} Index => 97 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {F38BF404-1D43-42F2-9305-67DE0B28FC23} Index => 98 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {f3ce0f7c-4901-4acc-8648-d5d44b04ef8f} Index => 99 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {F7F1ED05-9F6D-47A2-AAAE-29D317C6F066} Index => 100 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {FD228CB7-AE11-4AE3-864C-16F3910AB8FE} Index => 101 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {FDD39AD0-238F-46AF-ADB4-6C85480369C7} Index => 102 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | RegEnumKeyW |
Handle => 0x000002ac Name => {FDD39AD0-238F-46AF-ADB4-6C85480369C7} Index => 103 |
FAILURE | 0x00000103 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ac ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => {7D1D3A04-DEBB-4115-95CF-2F29DA2920DA} |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002b0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => S\x00e\x00a\x00r\x00c\x00h\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => S\x00e\x00a\x00r\x00c\x00h\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00{\x007\x00d\x001\x00d\x003\x00a\x000\x004\x00-\x00d\x00e\x00b\x00b\x00-\x004\x001\x001\x005\x00-\x009\x005\x00c\x00f\x00-\x002\x00f\x002\x009\x00d\x00a\x002\x009\x002\x000\x00d\x00a\x00}\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x009\x000\x003\x001\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x008\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b0 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => {\x000\x00b\x000\x00b\x00a\x002\x00e\x003\x00-\x004\x000\x005\x00f\x00-\x004\x001\x005\x00e\x00-\x00a\x006\x00e\x00e\x00-\x00c\x00a\x00d\x006\x002\x005\x002\x000\x007\x008\x005\x003\x00}\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => FolderTypeID Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000002b0 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ac ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ac ValueName => {7D1D3A04-DEBB-4115-95CF-2F29DA2920DA} |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b4 ObjectAttributes => Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00\x00\x00 KeyHandle => 0x000002b4 ValueName => ProfileImagePath Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,685 | 2356 | LdrGetProcedureAddress |
Ordinal => 334 FunctionName => FunctionAddress => 0x740641ae ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ac ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => {F38BF404-1D43-42F2-9305-67DE0B28FC23} |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002b0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => W\x00i\x00n\x00d\x00o\x00w\x00s\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ac ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b4 ObjectAttributes => {F7F1ED05-9F6D-47A2-AAAE-29D317C6F066} |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002b4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00C\x00o\x00m\x00m\x00o\x00n\x00\x00\x00 KeyHandle => 0x000002b4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => {2112AB0A-C86A-4FFE-A368-0DE96E47012E} |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002b0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => M\x00u\x00s\x00i\x00c\x00L\x00i\x00b\x00r\x00a\x00r\x00y\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => {\x001\x00B\x003\x00E\x00A\x005\x00D\x00C\x00-\x00B\x005\x008\x007\x00-\x004\x007\x008\x006\x00-\x00B\x004\x00E\x00F\x00-\x00B\x00D\x001\x00D\x00C\x003\x003\x002\x00A\x00E\x00A\x00E\x00}\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => M\x00u\x00s\x00i\x00c\x00.\x00l\x00i\x00b\x00r\x00a\x00r\x00y\x00-\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x000\x003\x001\x00E\x004\x008\x002\x005\x00-\x007\x00B\x009\x004\x00-\x004\x00d\x00c\x003\x00-\x00B\x001\x003\x001\x00-\x00E\x009\x004\x006\x00B\x004\x004\x00C\x008\x00D\x00D\x005\x00}\x00\\x00{\x002\x001\x001\x002\x00A\x00B\x000\x00A\x00-\x00C\x008\x006\x00A\x00-\x004\x00f\x00f\x00e\x00-\x00A\x003\x006\x008\x00-\x000\x00D\x00E\x009\x006\x00E\x004\x007\x000\x001\x002\x00E\x00}\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x008\x009\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x003\x004\x005\x008\x004\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x000\x004\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => StreamResource Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => L\x00I\x00B\x00R\x00A\x00R\x00Y\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => StreamResourceType Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b0 ValueName => Stream Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b4 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => {48DAF80B-E6CF-4F4E-B800-0E69D84EE384} |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002b8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => P\x00u\x00b\x00l\x00i\x00c\x00L\x00i\x00b\x00r\x00a\x00r\x00i\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => {\x00D\x00F\x00D\x00F\x007\x006\x00A\x002\x00-\x00C\x008\x002\x00A\x00-\x004\x00D\x006\x003\x00-\x009\x000\x006\x00A\x00-\x005\x006\x004\x004\x00A\x00C\x004\x005\x007\x003\x008\x005\x00}\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => L\x00i\x00b\x00r\x00a\x00r\x00i\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002b8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,685 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => {C4AA340D-F20F-4863-AFEF-F87EF2E6BA25} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002b0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00 \x00D\x00e\x00s\x00k\x00t\x00o\x00p\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x00D\x00F\x00D\x00F\x007\x006\x00A\x002\x00-\x00C\x008\x002\x00A\x00-\x004\x00D\x006\x003\x00-\x009\x000\x006\x00A\x00-\x005\x006\x004\x004\x00A\x00C\x004\x005\x007\x003\x008\x005\x00}\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => D\x00e\x00s\x00k\x00t\x00o\x00p\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x009\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => D\x00:\x00P\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x00F\x00A\x00;\x00;\x00;\x00B\x00A\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x000\x00x\x001\x002\x000\x000\x00a\x009\x00;\x00;\x00;\x00I\x00U\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x00F\x00A\x00;\x00;\x00;\x00S\x00Y\x00)\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Security Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002b0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => {9E52AB10-F80D-49DF-ACB8-4330F5687855} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002b8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => C\x00D\x00 \x00B\x00u\x00r\x00n\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x00F\x001\x00B\x003\x002\x007\x008\x005\x00-\x006\x00F\x00B\x00A\x00-\x004\x00F\x00C\x00F\x00-\x009\x00D\x005\x005\x00-\x007\x00B\x008\x00E\x007\x00F\x001\x005\x007\x000\x009\x001\x00}\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00B\x00u\x00r\x00n\x00\\x00B\x00u\x00r\x00n\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x005\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => LocalRedirectOnly Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => {98EC0E18-2098-4D44-8644-66979315A281} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00A\x00P\x00I\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => s\x00h\x00e\x00l\x00l\x00:\x00:\x00:\x00{\x008\x009\x00D\x008\x003\x005\x007\x006\x00-\x006\x00B\x00D\x001\x00-\x004\x00C\x008\x006\x00-\x009\x004\x005\x004\x00-\x00B\x00E\x00B\x000\x004\x00E\x009\x004\x00C\x008\x001\x009\x00}\x00\\x00*\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => {A4115719-D62E-491D-AA7C-E74B8BE3B067} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002b8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00 \x00S\x00t\x00a\x00r\x00t\x00 \x00M\x00e\x00n\x00u\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x006\x002\x00A\x00B\x005\x00D\x008\x002\x00-\x00F\x00D\x00C\x001\x00-\x004\x00D\x00C\x003\x00-\x00A\x009\x00D\x00D\x00-\x000\x007\x000\x00D\x001\x00D\x004\x009\x005\x00D\x009\x007\x00}\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00S\x00t\x00a\x00r\x00t\x00 \x00M\x00e\x00n\x00u\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x006\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => {CAC52C1A-B53D-4EDC-92D7-6B2E8AC19434} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => G\x00a\x00m\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x00E\x00D\x002\x002\x008\x00F\x00D\x00F\x00-\x009\x00E\x00A\x008\x00-\x004\x008\x007\x000\x00-\x008\x003\x00b\x001\x00-\x009\x006\x00b\x000\x002\x00C\x00F\x00E\x000\x00D\x005\x002\x00}\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => {18989B1D-99B5-455B-841C-AB7C74E4DDFC} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002b8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00y\x00 \x00V\x00i\x00d\x00e\x00o\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => V\x00i\x00d\x00e\x00o\x00s\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00{\x001\x008\x009\x008\x009\x00B\x001\x00D\x00-\x009\x009\x00B\x005\x00-\x004\x005\x005\x00B\x00-\x008\x004\x001\x00C\x00-\x00A\x00B\x007\x00C\x007\x004\x00E\x004\x00D\x00D\x00F\x00C\x00}\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x009\x000\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x001\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x008\x009\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000002b8 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00V\x00i\x00d\x00e\x00o\x00s\x00\x00\x00 KeyHandle => 0x000002bc ValueName => My Video Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => {52A4F021-7B75-48A9-9F6B-4B87A210BC8F} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002b8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => Q\x00u\x00i\x00c\x00k\x00 \x00L\x00a\x00u\x00n\x00c\x00h\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00I\x00n\x00t\x00e\x00r\x00n\x00e\x00t\x00 \x00E\x00x\x00p\x00l\x00o\x00r\x00e\x00r\x00\\x00Q\x00u\x00i\x00c\x00k\x00 \x00L\x00a\x00u\x00n\x00c\x00h\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => {DE974D24-D9C6-4D3E-BF91-F4455120B917} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002bc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00C\x00o\x00m\x00m\x00o\x00n\x00X\x008\x006\x00\x00\x00 KeyHandle => 0x000002bc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => {6F0CD92B-2E97-45D1-88FF-B0D186B8DEDD} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002b8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => C\x00o\x00n\x00n\x00e\x00c\x00t\x00i\x00o\x00n\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\\x00:\x00:\x00{\x007\x000\x000\x007\x00A\x00C\x00C\x007\x00-\x003\x002\x000\x002\x00-\x001\x001\x00D\x001\x00-\x00A\x00A\x00D\x002\x00-\x000\x000\x008\x000\x005\x00F\x00C\x001\x002\x007\x000\x00E\x00}\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => {76FC4E2D-D6AD-4519-A663-37BD56068185} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002bc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => P\x00r\x00i\x00n\x00t\x00e\x00r\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002bc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x001\x00E\x00C\x002\x000\x002\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x00D\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\\x00:\x00:\x00{\x002\x002\x002\x007\x00A\x002\x008\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x00E\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002bc ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => {A75D362E-50FC-4FB7-AC2C-A8BEAA314493} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002b8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => G\x00a\x00d\x00g\x00e\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x00F\x001\x00B\x003\x002\x007\x008\x005\x00-\x006\x00F\x00B\x00A\x00-\x004\x00F\x00C\x00F\x00-\x009\x00D\x005\x005\x00-\x007\x00B\x008\x00E\x007\x00F\x001\x005\x007\x000\x009\x001\x00}\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00 \x00S\x00i\x00d\x00e\x00b\x00a\x00r\x00\\x00G\x00a\x00d\x00g\x00e\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00%\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00 \x00S\x00i\x00d\x00e\x00b\x00a\x00r\x00\\x00S\x00i\x00d\x00e\x00b\x00a\x00r\x00.\x00e\x00x\x00e\x00,\x00-\x001\x000\x000\x000\x000\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => InfoTip Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => %\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00%\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00 \x00S\x00i\x00d\x00e\x00b\x00a\x00r\x00\\x00S\x00i\x00d\x00e\x00b\x00a\x00r\x00.\x00e\x00x\x00e\x00,\x000\x00\x00\x00 KeyHandle => 0x000002b8 ValueName => Icon Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002b8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => {491E922F-5643-4AF4-A7EB-4E7A138D8174} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002bc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => V\x00i\x00d\x00e\x00o\x00s\x00L\x00i\x00b\x00r\x00a\x00r\x00y\x00\x00\x00 KeyHandle => 0x000002bc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x001\x00B\x003\x00E\x00A\x005\x00D\x00C\x00-\x00B\x005\x008\x007\x00-\x004\x007\x008\x006\x00-\x00B\x004\x00E\x00F\x00-\x00B\x00D\x001\x00D\x00C\x003\x003\x002\x00A\x00E\x00A\x00E\x00}\x00\x00\x00 KeyHandle => 0x000002bc ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => V\x00i\x00d\x00e\x00o\x00s\x00.\x00l\x00i\x00b\x00r\x00a\x00r\x00y\x00-\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002bc ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x000\x003\x001\x00E\x004\x008\x002\x005\x00-\x007\x00B\x009\x004\x00-\x004\x00d\x00c\x003\x00-\x00B\x001\x003\x001\x00-\x00E\x009\x004\x006\x00B\x004\x004\x00C\x008\x00D\x00D\x005\x00}\x00\\x00{\x004\x009\x001\x00E\x009\x002\x002\x00F\x00-\x005\x006\x004\x003\x00-\x004\x00a\x00f\x004\x00-\x00A\x007\x00E\x00B\x00-\x004\x00E\x007\x00A\x001\x003\x008\x00D\x008\x001\x007\x004\x00}\x00\x00\x00 KeyHandle => 0x000002bc ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x009\x000\x00\x00\x00 KeyHandle => 0x000002bc ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x003\x004\x006\x002\x000\x00\x00\x00 KeyHandle => 0x000002bc ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x000\x005\x00\x00\x00 KeyHandle => 0x000002bc ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x004\x00\x00\x00 KeyHandle => 0x000002bc ValueName => StreamResource Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => L\x00I\x00B\x00R\x00A\x00R\x00Y\x00\x00\x00 KeyHandle => 0x000002bc ValueName => StreamResourceType Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002bc ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002bc ValueName => Stream Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002bc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {33E28130-4E1E-4676-835A-98395C3BC3BB} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00y\x00 \x00P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00{\x003\x003\x00E\x002\x008\x001\x003\x000\x00-\x004\x00E\x001\x00E\x00-\x004\x006\x007\x006\x00-\x008\x003\x005\x00A\x00-\x009\x008\x003\x009\x005\x00C\x003\x00B\x00C\x003\x00B\x00B\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x008\x008\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x007\x009\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x001\x003\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002bc ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000002c0 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c4 ValueName => My Pictures Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {8AD10C31-2ADB-4296-A8F7-E4701232C972} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00D\x00i\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c4 ObjectAttributes => {82A5EA35-D9CD-47C5-9629-E15D2F714E6E} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002c4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00 \x00S\x00t\x00a\x00r\x00t\x00u\x00p\x00\x00\x00 KeyHandle => 0x000002c4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x000\x001\x003\x009\x00D\x004\x004\x00E\x00-\x006\x00A\x00F\x00E\x00-\x004\x009\x00F\x002\x00-\x008\x006\x009\x000\x00-\x003\x00D\x00A\x00F\x00C\x00A\x00E\x006\x00F\x00F\x00B\x008\x00}\x00\x00\x00 KeyHandle => 0x000002c4 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => S\x00t\x00a\x00r\x00t\x00U\x00p\x00\x00\x00 KeyHandle => 0x000002c4 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x007\x00\x00\x00 KeyHandle => 0x000002c4 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c4 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c4 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {DEBF2536-E1A8-4C59-B6A2-414586476AEA} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => P\x00u\x00b\x00l\x00i\x00c\x00G\x00a\x00m\x00e\x00T\x00a\x00s\x00k\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x006\x002\x00A\x00B\x005\x00D\x008\x002\x00-\x00F\x00D\x00C\x001\x00-\x004\x00D\x00C\x003\x00-\x00A\x009\x00D\x00D\x00-\x000\x007\x000\x00D\x001\x00D\x004\x009\x005\x00D\x009\x007\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00G\x00a\x00m\x00e\x00E\x00x\x00p\x00l\x00o\x00r\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c4 ObjectAttributes => {0F214138-B1D3-4A90-BBA9-27CBC0C5389A} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => S\x00y\x00n\x00c\x00S\x00e\x00t\x00u\x00p\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\\x00:\x00:\x00{\x009\x00C\x007\x003\x00F\x005\x00E\x005\x00-\x007\x00A\x00E\x007\x00-\x004\x00E\x003\x002\x00-\x00A\x008\x00E\x008\x00-\x008\x00D\x002\x003\x00B\x008\x005\x002\x005\x005\x00B\x00F\x00}\x00\\x00:\x00:\x00{\x00F\x001\x003\x009\x000\x00A\x009\x00A\x00-\x00A\x003\x00F\x004\x00-\x004\x00E\x005\x00D\x00-\x009\x00C\x005\x00F\x00-\x009\x008\x00F\x003\x00B\x00D\x008\x00D\x009\x003\x005\x00C\x00}\x00,\x00\x00\x00 KeyHandle => 0x000002c4 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {2400183A-6185-49FB-A2D8-4A392A602BA3} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00V\x00i\x00d\x00e\x00o\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x00D\x00F\x00D\x00F\x007\x006\x00A\x002\x00-\x00C\x008\x002\x00A\x00-\x004\x00D\x006\x003\x00-\x009\x000\x006\x00A\x00-\x005\x006\x004\x004\x00A\x00C\x004\x005\x007\x003\x008\x005\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => V\x00i\x00d\x00e\x00o\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x009\x000\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x000\x004\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x003\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c4 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => {D9DC8A3B-B784-432E-A781-5A1130A75963} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002c8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => H\x00i\x00s\x00t\x00o\x00r\x00y\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x00F\x001\x00B\x003\x002\x007\x008\x005\x00-\x006\x00F\x00B\x00A\x00-\x004\x00F\x00C\x00F\x00-\x009\x00D\x005\x005\x00-\x007\x00B\x008\x00E\x007\x00F\x001\x005\x007\x000\x009\x001\x00}\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00H\x00i\x00s\x00t\x00o\x00r\x00y\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c8 ValueName => LocalRedirectOnly Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {C4900540-2379-4C75-844B-64E6FAF8716B} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => S\x00a\x00m\x00p\x00l\x00e\x00P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => {\x00B\x006\x00E\x00B\x00F\x00B\x008\x006\x00-\x006\x009\x000\x007\x00-\x004\x001\x003\x00C\x00-\x009\x00A\x00F\x007\x00-\x004\x00F\x00C\x002\x00A\x00B\x00F\x000\x007\x00C\x00C\x005\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => S\x00a\x00m\x00p\x00l\x00e\x00 \x00P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x000\x005\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => {289A9A43-BE44-4057-A41B-587A76D7E7F9} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => S\x00y\x00n\x00c\x00R\x00e\x00s\x00u\x00l\x00t\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\\x00:\x00:\x00{\x009\x00C\x007\x003\x00F\x005\x00E\x005\x00-\x007\x00A\x00E\x007\x00-\x004\x00E\x003\x002\x00-\x00A\x008\x00E\x008\x00-\x008\x00D\x002\x003\x00B\x008\x005\x002\x005\x005\x00B\x00F\x00}\x00\\x00:\x00:\x00{\x00B\x00C\x004\x008\x00B\x003\x002\x00F\x00-\x005\x009\x001\x000\x00-\x004\x007\x00F\x005\x00-\x008\x005\x007\x000\x00-\x005\x000\x007\x004\x00A\x008\x00A\x005\x006\x003\x006\x00A\x00}\x00,\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {4BFEFB45-347D-4006-A5BE-AC0CB0567192} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => C\x00o\x00n\x00f\x00l\x00i\x00c\x00t\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\\x00:\x00:\x00{\x009\x00C\x007\x003\x00F\x005\x00E\x005\x00-\x007\x00A\x00E\x007\x00-\x004\x00E\x003\x002\x00-\x00A\x008\x00E\x008\x00-\x008\x00D\x002\x003\x00B\x008\x005\x002\x005\x005\x00B\x00F\x00}\x00\\x00:\x00:\x00{\x00E\x004\x001\x003\x00D\x000\x004\x000\x00-\x006\x007\x008\x008\x00-\x004\x00C\x002\x002\x00-\x009\x005\x007\x00E\x00-\x001\x007\x005\x00D\x001\x00C\x005\x001\x003\x00A\x003\x004\x00}\x00,\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => {B7534046-3ECB-4C18-BE4E-64CD4CB7D6AC} |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => R\x00e\x00c\x00y\x00c\x00l\x00e\x00B\x00i\x00n\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x006\x004\x005\x00F\x00F\x000\x004\x000\x00-\x005\x000\x008\x001\x00-\x001\x000\x001\x00B\x00-\x009\x00F\x000\x008\x00-\x000\x000\x00A\x00A\x000\x000\x002\x00F\x009\x005\x004\x00E\x00}\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,695 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {EE32E446-31CA-4ABA-814F-A5EBD2FD6D5E} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00S\x00C\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => s\x00h\x00e\x00l\x00l\x00:\x00:\x00:\x00{\x00B\x00D\x007\x00A\x002\x00E\x007\x00B\x00-\x002\x001\x00C\x00B\x00-\x004\x001\x00b\x002\x00-\x00A\x000\x008\x006\x00-\x00B\x003\x000\x009\x006\x008\x000\x00C\x006\x00B\x007\x00E\x00}\x00\\x00*\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => {C870044B-F49E-4126-A9C3-B52A1FF411E8} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002c8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => R\x00i\x00n\x00g\x00t\x00o\x00n\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x00F\x001\x00B\x003\x002\x007\x008\x005\x00-\x006\x00F\x00B\x00A\x00-\x004\x00F\x00C\x00F\x00-\x009\x00D\x005\x005\x00-\x007\x00B\x008\x00E\x007\x00F\x001\x005\x007\x000\x009\x001\x00}\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00R\x00i\x00n\x00g\x00t\x00o\x00n\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {0139D44E-6AFE-49F2-8690-3DAFCAE6FFB8} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00 \x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x00A\x004\x001\x001\x005\x007\x001\x009\x00-\x00D\x006\x002\x00E\x00-\x004\x009\x001\x00D\x00-\x00A\x00A\x007\x00C\x00-\x00E\x007\x004\x00B\x008\x00B\x00E\x003\x00B\x000\x006\x007\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x002\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => {C5ABBF53-E17F-4121-8900-86626FC2C973} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002c8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => N\x00e\x00t\x00H\x00o\x00o\x00d\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00N\x00e\x00t\x00w\x00o\x00r\x00k\x00 \x00S\x00h\x00o\x00r\x00t\x00c\x00u\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002c8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {56784854-C6CB-462B-8169-88E350ACB882} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00o\x00n\x00t\x00a\x00c\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00o\x00n\x00t\x00a\x00c\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00{\x005\x006\x007\x008\x004\x008\x005\x004\x00-\x00C\x006\x00C\x00B\x00-\x004\x006\x002\x00B\x00-\x008\x001\x006\x009\x00-\x008\x008\x00E\x003\x005\x000\x00A\x00C\x00B\x008\x008\x002\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00C\x00o\x00m\x00m\x00o\x00n\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x00\\x00w\x00a\x00b\x003\x002\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x002\x000\x000\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00C\x00o\x00m\x00m\x00o\x00n\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x00\\x00w\x00a\x00b\x003\x002\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x001\x000\x000\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x008\x001\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x00d\x00e\x002\x00b\x007\x000\x00e\x00c\x00-\x009\x00b\x00f\x007\x00-\x004\x00a\x009\x003\x00-\x00b\x00d\x003\x00d\x00-\x002\x004\x003\x00f\x007\x008\x008\x001\x00d\x004\x009\x002\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => FolderTypeID Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c8 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000002c0 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => {56784854-C6CB-462B-8169-88E350ACB882} |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => ProfileImagePath Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {7B396E54-9EC5-4300-BE0A-2482EBAE1A26} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => D\x00e\x00f\x00a\x00u\x00l\x00t\x00 \x00G\x00a\x00d\x00g\x00e\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x009\x000\x005\x00e\x006\x003\x00b\x006\x00-\x00c\x001\x00b\x00f\x00-\x004\x009\x004\x00e\x00-\x00b\x002\x009\x00c\x00-\x006\x005\x00b\x007\x003\x002\x00d\x003\x00d\x002\x001\x00a\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => W\x00i\x00n\x00d\x00o\x00w\x00s\x00 \x00S\x00i\x00d\x00e\x00b\x00a\x00r\x00\\x00G\x00a\x00d\x00g\x00e\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => {BCBD3057-CA5C-4622-B42D-BC56DB0AE516} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002cc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => U\x00s\x00e\x00r\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00C\x00o\x00m\x00m\x00o\x00n\x00\x00\x00 KeyHandle => 0x000002cc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x005\x00c\x00d\x007\x00a\x00e\x00e\x002\x00-\x002\x002\x001\x009\x00-\x004\x00a\x006\x007\x00-\x00b\x008\x005\x00d\x00-\x006\x00c\x009\x00c\x00e\x001\x005\x006\x006\x000\x00c\x00b\x00}\x00\x00\x00 KeyHandle => 0x000002cc ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00\x00\x00 KeyHandle => 0x000002cc ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {A302545D-DEFF-464B-ABE8-61C8648D939B} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => U\x00s\x00e\x00r\x00s\x00L\x00i\x00b\x00r\x00a\x00r\x00i\x00e\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x000\x003\x001\x00E\x004\x008\x002\x005\x00-\x007\x00B\x009\x004\x00-\x004\x00d\x00c\x003\x00-\x00B\x001\x003\x001\x00-\x00E\x009\x004\x006\x00B\x004\x004\x00C\x008\x00D\x00D\x005\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => {2B0F765D-C0E9-4171-908E-08A611B84FF6} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002d0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00o\x00o\x00k\x00i\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00C\x00o\x00o\x00k\x00i\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {2A00375E-224C-49DE-B8D1-440DF7EF3DDC} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00s\x00D\x00i\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => {E555AB60-153B-4D17-9F04-A5FE99FC15EC} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002d0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00R\x00i\x00n\x00g\x00t\x00o\x00n\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x006\x002\x00A\x00B\x005\x00D\x008\x002\x00-\x00F\x00D\x00C\x001\x00-\x004\x00D\x00C\x003\x00-\x00A\x009\x00D\x00D\x00-\x000\x007\x000\x00D\x001\x00D\x004\x009\x005\x00D\x009\x007\x00}\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00R\x00i\x00n\x00g\x00t\x00o\x00n\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {054FAE61-4DD8-4787-80B6-090220C4B700} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => G\x00a\x00m\x00e\x00T\x00a\x00s\x00k\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x00F\x001\x00B\x003\x002\x007\x008\x005\x00-\x006\x00F\x00B\x00A\x00-\x004\x00F\x00C\x00F\x00-\x009\x00D\x005\x005\x00-\x007\x00B\x008\x00E\x007\x00F\x001\x005\x007\x000\x009\x001\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00G\x00a\x00m\x00e\x00E\x00x\x00p\x00l\x00o\x00r\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => {1777F761-68AD-4D8A-87BD-30B759FA33DD} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002d0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => F\x00a\x00v\x00o\x00r\x00i\x00t\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => F\x00a\x00v\x00o\x00r\x00i\x00t\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x006\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x001\x005\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d0 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d0 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000002d0 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00F\x00a\x00v\x00o\x00r\x00i\x00t\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Favorites Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => {B250C668-F57D-4EE1-A63C-290EE7D1AA1F} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002d0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => S\x00a\x00m\x00p\x00l\x00e\x00M\x00u\x00s\x00i\x00c\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x003\x002\x001\x004\x00F\x00A\x00B\x005\x00-\x009\x007\x005\x007\x00-\x004\x002\x009\x008\x00-\x00B\x00B\x006\x001\x00-\x009\x002\x00A\x009\x00D\x00E\x00A\x00A\x004\x004\x00F\x00F\x00}\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => S\x00a\x00m\x00p\x00l\x00e\x00 \x00M\x00u\x00s\x00i\x00c\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x000\x006\x00\x00\x00 KeyHandle => 0x000002d0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {52528A6B-B9E3-4ADD-B60D-588C2DBA842D} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => H\x00o\x00m\x00e\x00G\x00r\x00o\x00u\x00p\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x00B\x004\x00F\x00B\x003\x00F\x009\x008\x00-\x00C\x001\x00E\x00A\x00-\x004\x002\x008\x00d\x00-\x00A\x007\x008\x00A\x00-\x00D\x001\x00F\x005\x006\x005\x009\x00C\x00B\x00A\x009\x003\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x001\x003\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => {8983036C-27C0-404B-8F08-102D10DCFD74} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002d4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => S\x00e\x00n\x00d\x00T\x00o\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00S\x00e\x00n\x00d\x00T\x00o\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {BCB5256F-79F6-4CEE-B725-DC34E402FD46} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => I\x00m\x00p\x00l\x00i\x00c\x00i\x00t\x00A\x00p\x00p\x00S\x00h\x00o\x00r\x00t\x00c\x00u\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x009\x00e\x003\x009\x009\x005\x00a\x00b\x00-\x001\x00f\x009\x00c\x00-\x004\x00f\x001\x003\x00-\x00b\x008\x002\x007\x00-\x004\x008\x00b\x002\x004\x00b\x006\x00c\x007\x001\x007\x004\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => I\x00m\x00p\x00l\x00i\x00c\x00i\x00t\x00A\x00p\x00p\x00S\x00h\x00o\x00r\x00t\x00c\x00u\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => {724EF170-A42D-4FEF-9F26-B60E846FBA4F} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002d4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00i\x00v\x00e\x00 \x00T\x00o\x00o\x00l\x00s\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x00A\x007\x007\x00F\x005\x00D\x007\x007\x00-\x002\x00E\x002\x00B\x00-\x004\x004\x00C\x003\x00-\x00A\x006\x00A\x002\x00-\x00A\x00B\x00A\x006\x000\x001\x000\x005\x004\x00A\x005\x001\x00}\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00i\x00v\x00e\x00 \x00T\x00o\x00o\x00l\x00s\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x006\x002\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d4 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d4 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {4BD8D571-6D19-48D3-BE97-422220080E43} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00y\x00 \x00M\x00u\x00s\x00i\x00c\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00u\x00s\x00i\x00c\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00{\x004\x00B\x00D\x008\x00D\x005\x007\x001\x00-\x006\x00D\x001\x009\x00-\x004\x008\x00D\x003\x00-\x00B\x00E\x009\x007\x00-\x004\x002\x002\x002\x002\x000\x000\x008\x000\x00E\x004\x003\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x008\x009\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x000\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x008\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000002c0 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00M\x00u\x00s\x00i\x00c\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => My Music Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {DE61D971-5EBC-4F02-A3A9-6C82895E5C04} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => A\x00d\x00d\x00N\x00e\x00w\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => s\x00h\x00e\x00l\x00l\x00:\x00:\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\\x00:\x00:\x00{\x001\x005\x00e\x00a\x00e\x009\x002\x00e\x00-\x00f\x001\x007\x00a\x00-\x004\x004\x003\x001\x00-\x009\x00f\x002\x008\x00-\x008\x000\x005\x00e\x004\x008\x002\x00d\x00a\x00f\x00d\x004\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {0762D272-C50A-4BB0-A382-697DCD729B80} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => U\x00s\x00e\x00r\x00P\x00r\x00o\x00f\x00i\x00l\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x003\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0x80000005 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => D\x00:\x00P\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x00F\x00A\x00;\x00;\x00;\x00S\x00Y\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x00F\x00A\x00;\x00;\x00;\x00B\x00A\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x00G\x00X\x00G\x00R\x00;\x00;\x00;\x00B\x00U\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x00G\x00X\x00G\x00R\x00;\x00;\x00;\x00W\x00D\x00)\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Security Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => {4D9F7874-4E0C-4904-967B-40B0D20C3E4B} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002c0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => I\x00n\x00t\x00e\x00r\x00n\x00e\x00t\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x008\x007\x001\x00C\x005\x003\x008\x000\x00-\x004\x002\x00A\x000\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00E\x00A\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002c0 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {1AC14E77-02E7-4E5D-B744-2EB1AE5198B7} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => S\x00y\x00s\x00t\x00e\x00m\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002dc ObjectAttributes => {A77F5D77-2E2B-44C3-A6A2-ABA601054A51} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002dc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002dc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x006\x002\x005\x00B\x005\x003\x00C\x003\x00-\x00A\x00B\x004\x008\x00-\x004\x00E\x00C\x001\x00-\x00B\x00A\x001\x00F\x00-\x00A\x001\x00E\x00F\x004\x001\x004\x006\x00F\x00C\x001\x009\x00}\x00\x00\x00 KeyHandle => 0x000002dc ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002dc ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x002\x00\x00\x00 KeyHandle => 0x000002dc ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002dc ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002dc ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002dc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {0AC0837C-BBF8-452A-850D-79D08E667CA7} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => M\x00y\x00C\x00o\x00m\x00p\x00u\x00t\x00e\x00r\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x000\x00D\x000\x004\x00F\x00E\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x008\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002dc ObjectAttributes => {D0384E7D-BAC3-4797-8F14-CBA229B392B5} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002dc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00 \x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00i\x00v\x00e\x00 \x00T\x00o\x00o\x00l\x00s\x00\x00\x00 KeyHandle => 0x000002dc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => {\x000\x001\x003\x009\x00D\x004\x004\x00E\x00-\x006\x00A\x00F\x00E\x00-\x004\x009\x00F\x002\x00-\x008\x006\x009\x000\x00-\x003\x00D\x00A\x00F\x00C\x00A\x00E\x006\x00F\x00F\x00B\x008\x00}\x00\x00\x00 KeyHandle => 0x000002dc ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00i\x00v\x00e\x00 \x00T\x00o\x00o\x00l\x00s\x00\x00\x00 KeyHandle => 0x000002dc ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x006\x002\x00\x00\x00 KeyHandle => 0x000002dc ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002dc ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002dc ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002dc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002dc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {7B0DB17D-9CD2-4A93-9733-46CC89022E7C} |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,705 | 2356 | NtQueryValueKey |
Information => D\x00o\x00c\x00u\x00m\x00e\x00n\x00t\x00s\x00L\x00i\x00b\x00r\x00a\x00r\x00y\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x001\x00B\x003\x00E\x00A\x005\x00D\x00C\x00-\x00B\x005\x008\x007\x00-\x004\x007\x008\x006\x00-\x00B\x004\x00E\x00F\x00-\x00B\x00D\x001\x00D\x00C\x003\x003\x002\x00A\x00E\x00A\x00E\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => D\x00o\x00c\x00u\x00m\x00e\x00n\x00t\x00s\x00.\x00l\x00i\x00b\x00r\x00a\x00r\x00y\x00-\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x000\x003\x001\x00E\x004\x008\x002\x005\x00-\x007\x00B\x009\x004\x00-\x004\x00d\x00c\x003\x00-\x00B\x001\x003\x001\x00-\x00E\x009\x004\x006\x00B\x004\x004\x00C\x008\x00D\x00D\x005\x00}\x00\\x00{\x007\x00b\x000\x00d\x00b\x001\x007\x00d\x00-\x009\x00c\x00d\x002\x00-\x004\x00a\x009\x003\x00-\x009\x007\x003\x003\x00-\x004\x006\x00c\x00c\x008\x009\x000\x002\x002\x00e\x007\x00c\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x003\x004\x005\x007\x005\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x000\x002\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => StreamResource Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => L\x00I\x00B\x00R\x00A\x00R\x00Y\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => StreamResourceType Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Stream Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002dc ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e0 ObjectAttributes => {AE50C081-EBD2-438A-8655-8A092E34987A} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002e0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => R\x00e\x00c\x00e\x00n\x00t\x00\x00\x00 KeyHandle => 0x000002e0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002e0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00R\x00e\x00c\x00e\x00n\x00t\x00\x00\x00 KeyHandle => 0x000002e0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00s\x00h\x00e\x00l\x00l\x003\x002\x00,\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x009\x002\x00\x00\x00 KeyHandle => 0x000002e0 ValueName => InfoTip Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x007\x00\x00\x00 KeyHandle => 0x000002e0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x001\x007\x00\x00\x00 KeyHandle => 0x000002e0 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e0 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {62AB5D82-FDC1-4DC3-A9DD-070D1D495D97} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00 \x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e0 ObjectAttributes => {F1B32785-6FBA-4FCF-9D55-7B8E7F157091} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002e0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => L\x00o\x00c\x00a\x00l\x00 \x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\x00\x00 KeyHandle => 0x000002e0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00L\x00o\x00c\x00a\x00l\x00\x00\x00 KeyHandle => 0x000002e0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e0 ValueName => LocalRedirectOnly Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e0 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {B6EBFB86-6907-413C-9AF7-4FC2ABF07CC5} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x00D\x00F\x00D\x00F\x007\x006\x00A\x002\x00-\x00C\x008\x002\x00A\x00-\x004\x00D\x006\x003\x00-\x009\x000\x006\x00A\x00-\x005\x006\x004\x004\x00A\x00C\x004\x005\x007\x003\x008\x005\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x008\x008\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x000\x002\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x003\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e0 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => {9274BD8D-CFD1-41C3-B35E-B13F55A758F4} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002e4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => P\x00r\x00i\x00n\x00t\x00H\x00o\x00o\x00d\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00P\x00r\x00i\x00n\x00t\x00e\x00r\x00 \x00S\x00h\x00o\x00r\x00t\x00c\x00u\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {69D2CF90-FC33-4FB7-9A0C-EBB0F0FCB43C} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => P\x00h\x00o\x00t\x00o\x00A\x00l\x00b\x00u\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x003\x003\x00E\x002\x008\x001\x003\x000\x00-\x004\x00E\x001\x00E\x00-\x004\x006\x007\x006\x00-\x008\x003\x005\x00A\x00-\x009\x008\x003\x009\x005\x00C\x003\x00B\x00C\x003\x00B\x00B\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00l\x00i\x00d\x00e\x00 \x00S\x00h\x00o\x00w\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x009\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => {374DE290-123F-4565-9164-39C4925E467B} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002e4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => D\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => D\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x008\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x008\x004\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e4 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e4 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e4 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e4 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000002e4 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00D\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => {374DE290-123F-4565-9164-39C4925E467B} Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => {859EAD94-2E85-48AD-A71A-0969CB56A6CD} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002e4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00a\x00m\x00p\x00l\x00e\x00V\x00i\x00d\x00e\x00o\x00s\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x002\x004\x000\x000\x001\x008\x003\x00A\x00-\x006\x001\x008\x005\x00-\x004\x009\x00F\x00B\x00-\x00A\x002\x00D\x008\x00-\x004\x00A\x003\x009\x002\x00A\x006\x000\x002\x00B\x00A\x003\x00}\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00a\x00m\x00p\x00l\x00e\x00 \x00V\x00i\x00d\x00e\x00o\x00s\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x000\x007\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e4 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e4 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {A305CE99-F527-492B-8B1A-7E76FA98D6E4} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => A\x00p\x00p\x00U\x00p\x00d\x00a\x00t\x00e\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\\x00:\x00:\x00{\x007\x00b\x008\x001\x00b\x00e\x006\x00a\x00-\x00c\x00e\x002\x00b\x00-\x004\x006\x007\x006\x00-\x00a\x002\x009\x00e\x00-\x00e\x00b\x009\x000\x007\x00a\x005\x001\x002\x006\x00c\x005\x00}\x00\\x00:\x00:\x00{\x00d\x004\x005\x000\x00a\x008\x00a\x001\x00-\x009\x005\x006\x008\x00-\x004\x005\x00c\x007\x00-\x009\x00c\x000\x00e\x00-\x00b\x004\x00f\x009\x00f\x00b\x004\x005\x003\x007\x00b\x00d\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => {3D644C9B-1FB8-4F30-9B45-F670235F79C0} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002e4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00D\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x00D\x00F\x00D\x00F\x007\x006\x00A\x002\x00-\x00C\x008\x002\x00A\x00-\x004\x00D\x006\x003\x00-\x009\x000\x006\x00A\x00-\x005\x006\x004\x004\x00A\x00C\x004\x005\x007\x003\x008\x005\x00}\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => D\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x000\x008\x00\x00\x00 KeyHandle => 0x000002e4 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e4 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e4 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {A990AE9F-A03B-4E80-94BC-9912D7504104} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00L\x00i\x00b\x00r\x00a\x00r\x00y\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x001\x00B\x003\x00E\x00A\x005\x00D\x00C\x00-\x00B\x005\x008\x007\x00-\x004\x007\x008\x006\x00-\x00B\x004\x00E\x00F\x00-\x00B\x00D\x001\x00D\x00C\x003\x003\x002\x00A\x00E\x00A\x00E\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00.\x00l\x00i\x00b\x00r\x00a\x00r\x00y\x00-\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x000\x003\x001\x00E\x004\x008\x002\x005\x00-\x007\x00B\x009\x004\x00-\x004\x00d\x00c\x003\x00-\x00B\x001\x003\x001\x00-\x00E\x009\x004\x006\x00B\x004\x004\x00C\x008\x00D\x00D\x005\x00}\x00\\x00{\x00A\x009\x009\x000\x00A\x00E\x009\x00F\x00-\x00A\x000\x003\x00B\x00-\x004\x00e\x008\x000\x00-\x009\x004\x00B\x00C\x00-\x009\x009\x001\x002\x00D\x007\x005\x000\x004\x001\x000\x004\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x008\x008\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x003\x004\x005\x009\x005\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x000\x003\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x003\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => StreamResource Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => L\x00I\x00B\x00R\x00A\x00R\x00Y\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => StreamResourceType Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Stream Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e4 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => {DFDF76A2-C82A-4D63-906A-5644AC457385} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002e8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => P\x00u\x00b\x00l\x00i\x00c\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x006\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Security |
FAILURE | 0x80000005 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => D\x00:\x00P\x00A\x00I\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x00F\x00A\x00;\x00;\x00;\x00B\x00A\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00I\x00O\x00;\x00F\x00A\x00;\x00;\x00;\x00C\x00O\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00;\x00F\x00A\x00;\x00;\x00;\x00S\x00Y\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00I\x00O\x00;\x000\x00x\x001\x003\x000\x001\x00f\x00f\x00;\x00;\x00;\x00I\x00U\x00)\x00(\x00A\x00;\x00;\x000\x00x\x001\x002\x000\x000\x00a\x00f\x00;\x00;\x00;\x00I\x00U\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00I\x00O\x00;\x000\x00x\x001\x003\x000\x001\x00f\x00f\x00;\x00;\x00;\x00S\x00U\x00)\x00(\x00A\x00;\x00;\x000\x00x\x001\x002\x000\x000\x00a\x00f\x00;\x00;\x00;\x00S\x00U\x00)\x00(\x00A\x00;\x00O\x00I\x00C\x00I\x00I\x00O\x00;\x000\x00x\x001\x003\x000\x001\x00f\x00f\x00;\x00;\x00;\x00S\x00-\x001\x00-\x005\x00-\x003\x00)\x00(\x00A\x00;\x00;\x000\x00x\x001\x002\x000\x000\x00a\x00f\x00;\x00;\x00;\x00S\x00-\x001\x00-\x005\x00-\x003\x00)\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => Security Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {1A6FDBA2-F42D-4358-A798-B74D745926C5} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => R\x00e\x00c\x00o\x00r\x00d\x00e\x00d\x00T\x00V\x00L\x00i\x00b\x00r\x00a\x00r\x00y\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x004\x008\x00d\x00a\x00f\x008\x000\x00b\x00-\x00e\x006\x00c\x00f\x00-\x004\x00f\x004\x00e\x00-\x00b\x008\x000\x000\x00-\x000\x00e\x006\x009\x00d\x008\x004\x00e\x00e\x003\x008\x004\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => R\x00e\x00c\x00o\x00r\x00d\x00e\x00d\x00T\x00V\x00.\x00l\x00i\x00b\x00r\x00a\x00r\x00y\x00-\x00m\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x003\x004\x006\x001\x005\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x000\x008\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x008\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => StreamResource Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => L\x00I\x00B\x00R\x00A\x00R\x00Y\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => StreamResourceType Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Stream Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => {A520A1A4-1780-4FF6-BD18-167343C5AF16} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002e8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => L\x00o\x00c\x00a\x00l\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00L\x00o\x00w\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00L\x00o\x00c\x00a\x00l\x00L\x00o\x00w\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00:\x00(\x00M\x00L\x00;\x00O\x00I\x00C\x00I\x00;\x00N\x00W\x00;\x00;\x00;\x00L\x00W\x00)\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => Security Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e8 ValueName => LocalRedirectOnly Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e8 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 8192 KeyHandle => 0x000002e8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {B88F4DAA-E7BD-49A9-B74D-02885A5DC765} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => C\x00r\x00y\x00p\x00t\x00o\x00K\x00e\x00y\x00s\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => {2C36C0AA-5812-4B87-BFD0-4CD0DFB19B39} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002e8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => O\x00r\x00i\x00g\x00i\x00n\x00a\x00l\x00 \x00I\x00m\x00a\x00g\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x00F\x001\x00B\x003\x002\x007\x008\x005\x00-\x006\x00F\x00B\x00A\x00-\x004\x00F\x00C\x00F\x00-\x009\x00D\x005\x005\x00-\x007\x00B\x008\x00E\x007\x00F\x001\x005\x007\x000\x009\x001\x00}\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00 \x00P\x00h\x00o\x00t\x00o\x00 \x00G\x00a\x00l\x00l\x00e\x00r\x00y\x00\\x00O\x00r\x00i\x00g\x00i\x00n\x00a\x00l\x00 \x00I\x00m\x00a\x00g\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => {DF7266AC-9274-4867-8D55-3BD661DE872D} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002d8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => C\x00h\x00a\x00n\x00g\x00e\x00R\x00e\x00m\x00o\x00v\x00e\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\\x00:\x00:\x00{\x007\x00b\x008\x001\x00b\x00e\x006\x00a\x00-\x00c\x00e\x002\x00b\x00-\x004\x006\x007\x006\x00-\x00a\x002\x009\x00e\x00-\x00e\x00b\x009\x000\x007\x00a\x005\x001\x002\x006\x00c\x005\x00}\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002d8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => {ED4824AF-DCE4-45A8-81E2-FC7965083634} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002e8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00 \x00D\x00o\x00c\x00u\x00m\x00e\x00n\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x00D\x00F\x00D\x00F\x007\x006\x00A\x002\x00-\x00C\x008\x002\x00A\x00-\x004\x00D\x006\x003\x00-\x009\x000\x006\x00A\x00-\x005\x006\x004\x004\x00A\x00C\x004\x005\x007\x003\x008\x005\x00}\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => D\x00o\x00c\x00u\x00m\x00e\x00n\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x000\x001\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x003\x00\x00\x00 KeyHandle => 0x000002e8 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002e8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002e8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d8 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ec ObjectAttributes => {D65231B0-B2F1-4857-A4CE-A8E7C6EA7D27} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002ec ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00y\x00s\x00t\x00e\x00m\x00X\x008\x006\x00\x00\x00 KeyHandle => 0x000002ec ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002e8 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ec ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f0 ObjectAttributes => {15CA69B3-30EE-49C1-ACE1-6B5EC372AFB5} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002f0 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00a\x00m\x00p\x00l\x00e\x00P\x00l\x00a\x00y\x00l\x00i\x00s\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002f0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x003\x002\x001\x004\x00F\x00A\x00B\x005\x00-\x009\x007\x005\x007\x00-\x004\x002\x009\x008\x00-\x00B\x00B\x006\x001\x00-\x009\x002\x00A\x009\x00D\x00E\x00A\x00A\x004\x004\x00F\x00F\x00}\x00\x00\x00 KeyHandle => 0x000002f0 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00a\x00m\x00p\x00l\x00e\x00 \x00P\x00l\x00a\x00y\x00l\x00i\x00s\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002f0 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x002\x000\x00\x00\x00 KeyHandle => 0x000002f0 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f0 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f0 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ec ObjectAttributes => {3214FAB5-9757-4298-BB61-92A9DEAA44FF} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002ec ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00M\x00u\x00s\x00i\x00c\x00\x00\x00 KeyHandle => 0x000002ec ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x00D\x00F\x00D\x00F\x007\x006\x00A\x002\x00-\x00C\x008\x002\x00A\x00-\x004\x00D\x006\x003\x00-\x009\x000\x006\x00A\x00-\x005\x006\x004\x004\x00A\x00C\x004\x005\x007\x003\x008\x005\x00}\x00\x00\x00 KeyHandle => 0x000002ec ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => M\x00u\x00s\x00i\x00c\x00\x00\x00 KeyHandle => 0x000002ec ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x001\x002\x006\x008\x009\x00\x00\x00 KeyHandle => 0x000002ec ValueName => InfoTip Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x000\x003\x00\x00\x00 KeyHandle => 0x000002ec ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x003\x00\x00\x00 KeyHandle => 0x000002ec ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002ec ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002ec ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002ec ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f0 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ec ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f4 ObjectAttributes => {905E63B6-C1BF-494E-B29C-65B732D3D21A} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002f4 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002f4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x001\x00\x00\x00 KeyHandle => 0x000002f4 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f4 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f4 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f4 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ec ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {FD228CB7-AE11-4AE3-864C-16F3910AB8FE} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => F\x00o\x00n\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x00F\x003\x008\x00B\x00F\x004\x000\x004\x00-\x001\x00D\x004\x003\x00-\x004\x002\x00F\x002\x00-\x009\x003\x000\x005\x00-\x006\x007\x00D\x00E\x000\x00B\x002\x008\x00F\x00C\x002\x003\x00}\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f4 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002fc ObjectAttributes => {B97D20BB-F46A-4C97-BA10-5E3608430854} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002fc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00t\x00a\x00r\x00t\x00u\x00p\x00\x00\x00 KeyHandle => 0x000002fc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x00A\x007\x007\x00F\x005\x00D\x007\x007\x00-\x002\x00E\x002\x00B\x00-\x004\x004\x00C\x003\x00-\x00A\x006\x00A\x002\x00-\x00A\x00B\x00A\x006\x000\x001\x000\x005\x004\x00A\x005\x001\x00}\x00\x00\x00 KeyHandle => 0x000002fc ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00t\x00a\x00r\x00t\x00U\x00p\x00\x00\x00 KeyHandle => 0x000002fc ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x007\x00\x00\x00 KeyHandle => 0x000002fc ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002fc ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002fc ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {625B53C3-AB48-4EC1-BA1F-A1EF4146FC19} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => S\x00t\x00a\x00r\x00t\x00 \x00M\x00e\x00n\x00u\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00S\x00t\x00a\x00r\x00t\x00 \x00M\x00e\x00n\x00u\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x008\x006\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002fc ObjectAttributes => {D20BEEC4-5CA8-4905-AE3B-BF251EA09B53} |
SUCCESS | 0x00000000 | |
| 23:22:04,715 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002fc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => N\x00e\x00t\x00w\x00o\x00r\x00k\x00P\x00l\x00a\x00c\x00e\x00s\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002fc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x00F\x000\x002\x00C\x001\x00A\x000\x00D\x00-\x00B\x00E\x002\x001\x00-\x004\x003\x005\x000\x00-\x008\x008\x00B\x000\x00-\x007\x003\x006\x007\x00F\x00C\x009\x006\x00E\x00F\x003\x00C\x00}\x00\x00\x00 KeyHandle => 0x000002fc ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {DE92C1C7-837F-4F69-A3BB-86E631204A23} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => P\x00l\x00a\x00y\x00l\x00i\x00s\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => {\x004\x00B\x00D\x008\x00D\x005\x007\x001\x00-\x006\x00D\x001\x009\x00-\x004\x008\x00D\x003\x00-\x00B\x00E\x009\x007\x00-\x004\x002\x002\x002\x002\x000\x000\x008\x000\x00E\x004\x003\x00}\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => P\x00l\x00a\x00y\x00l\x00i\x00s\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x008\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002fc ObjectAttributes => {10C07CD0-EF91-4567-B850-448B77CB37F9} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002fc ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => D\x00p\x00a\x00p\x00i\x00K\x00e\x00y\x00s\x00\x00\x00 KeyHandle => 0x000002fc ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002fc ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {FDD39AD0-238F-46AF-ADB4-6C85480369C7} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => P\x00e\x00r\x00s\x00o\x00n\x00a\x00l\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => D\x00o\x00c\x00u\x00m\x00e\x00n\x00t\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00{\x00F\x00D\x00D\x003\x009\x00A\x00D\x000\x00-\x002\x003\x008\x00F\x00-\x004\x006\x00A\x00F\x00-\x00A\x00D\x00B\x004\x00-\x006\x00C\x008\x005\x004\x008\x000\x003\x006\x009\x00C\x007\x00}\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x007\x000\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x001\x002\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f8 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f8 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f8 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002fc ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000002f8 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00D\x00o\x00c\x00u\x00m\x00e\x00n\x00t\x00s\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Personal Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {C1BAE2D0-10DF-4334-BEDD-7AA20B227A9D} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => O\x00E\x00M\x00 \x00L\x00i\x00n\x00k\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => {\x006\x002\x00A\x00B\x005\x00D\x008\x002\x00-\x00F\x00D\x00C\x001\x00-\x004\x00D\x00C\x003\x00-\x00A\x009\x00D\x00D\x00-\x000\x007\x000\x00D\x001\x00D\x004\x009\x005\x00D\x009\x007\x00}\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => O\x00E\x00M\x00 \x00L\x00i\x00n\x00k\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {190337D1-B8CA-4121-A639-6D472D16972A} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => S\x00e\x00a\x00r\x00c\x00h\x00H\x00o\x00m\x00e\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x009\x003\x004\x003\x008\x001\x002\x00e\x00-\x001\x00c\x003\x007\x00-\x004\x00a\x004\x009\x00-\x00a\x001\x002\x00e\x00-\x004\x00b\x002\x00d\x008\x001\x000\x00d\x009\x005\x006\x00b\x00}\x00\x00\x00 KeyHandle => 0x00000300 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {54EED2E0-E7CA-4FDB-9148-0F4247291CFA} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => S\x00y\x00s\x00t\x00e\x00m\x00C\x00e\x00r\x00t\x00i\x00f\x00i\x00c\x00a\x00t\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x00000300 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => L\x00i\x00n\x00k\x00s\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => L\x00i\x00n\x00k\x00s\x00\x00\x00 KeyHandle => 0x00000300 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00{\x00b\x00f\x00b\x009\x00d\x005\x00e\x000\x00-\x00c\x006\x00a\x009\x00-\x004\x000\x004\x00c\x00-\x00b\x002\x00b\x002\x00-\x00a\x00e\x006\x00d\x00b\x006\x00a\x00f\x004\x009\x006\x008\x00}\x00\x00\x00 KeyHandle => 0x00000300 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x000\x00\x00\x00 KeyHandle => 0x00000300 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x008\x005\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000300 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => {BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00\x00\x00 KeyHandle => 0x00000304 ValueName => ProfileImagePath Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {5CD7AEE2-2219-4A67-B85D-6C9CE15660CB} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x00000300 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => U\x00s\x00e\x00r\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => {\x00F\x001\x00B\x003\x002\x007\x008\x005\x00-\x006\x00F\x00B\x00A\x00-\x004\x00F\x00C\x00F\x00-\x009\x00D\x005\x005\x00-\x007\x00B\x008\x00E\x007\x00F\x001\x005\x007\x000\x009\x001\x00}\x00\x00\x00 KeyHandle => 0x00000300 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00g\x00r\x00a\x00m\x00s\x00\x00\x00 KeyHandle => 0x00000300 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {B94237E7-57AC-4347-9151-B08C6C32D1F7} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => C\x00o\x00m\x00m\x00o\x00n\x00 \x00T\x00e\x00m\x00p\x00l\x00a\x00t\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => {\x006\x002\x00A\x00B\x005\x00D\x008\x002\x00-\x00F\x00D\x00C\x001\x00-\x004\x00D\x00C\x003\x00-\x00A\x009\x00D\x00D\x00-\x000\x007\x000\x00D\x001\x00D\x004\x009\x005\x00D\x009\x007\x00}\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00T\x00e\x00m\x00p\x00l\x00a\x00t\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {352481E8-33BE-4251-BA85-6007CAEDCF9D} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x00000300 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => C\x00a\x00c\x00h\x00e\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => {\x00F\x001\x00B\x003\x002\x007\x008\x005\x00-\x006\x00F\x00B\x00A\x00-\x004\x00F\x00C\x00F\x00-\x009\x00D\x005\x005\x00-\x007\x00B\x008\x00E\x007\x00F\x001\x005\x007\x000\x009\x001\x00}\x00\x00\x00 KeyHandle => 0x00000300 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00T\x00e\x00m\x00p\x00o\x00r\x00a\x00r\x00y\x00 \x00I\x00n\x00t\x00e\x00r\x00n\x00e\x00t\x00 \x00F\x00i\x00l\x00e\x00s\x00\x00\x00 KeyHandle => 0x00000300 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => LocalRedirectOnly Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {A63293E8-664E-48DB-A079-DF759E0509F7} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => T\x00e\x00m\x00p\x00l\x00a\x00t\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => {\x003\x00E\x00B\x006\x008\x005\x00D\x00B\x00-\x006\x005\x00F\x009\x00-\x004\x00C\x00F\x006\x00-\x00A\x000\x003\x00A\x00-\x00E\x003\x00E\x00F\x006\x005\x007\x002\x009\x00F\x003\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00T\x00e\x00m\x00p\x00l\x00a\x00t\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {5CE4A5E9-E4EB-479D-B89F-130C02886155} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x00000300 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => D\x00e\x00v\x00i\x00c\x00e\x00 \x00M\x00e\x00t\x00a\x00d\x00a\x00t\x00a\x00 \x00S\x00t\x00o\x00r\x00e\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => {\x006\x002\x00A\x00B\x005\x00D\x008\x002\x00-\x00F\x00D\x00C\x001\x00-\x004\x00D\x00C\x003\x00-\x00A\x009\x00D\x00D\x00-\x000\x007\x000\x00D\x001\x00D\x004\x009\x005\x00D\x009\x007\x00}\x00\x00\x00 KeyHandle => 0x00000300 ValueName => ParentFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00M\x00e\x00t\x00a\x00d\x00a\x00t\x00a\x00S\x00t\x00o\x00r\x00e\x00\x00\x00 KeyHandle => 0x00000300 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => {82A74AEB-AEB4-465C-A014-D097EE346D63} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000002f8 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => C\x00o\x00n\x00t\x00r\x00o\x00l\x00P\x00a\x00n\x00e\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\x00\x00 KeyHandle => 0x000002f8 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x000002f8 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x00000300 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00X\x008\x006\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x007\x00\x00\x00 KeyHandle => 0x00000300 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002f8 ObjectAttributes => PropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {43668BF8-C14E-49B2-97C9-747784D784B7} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => S\x00y\x00n\x00c\x00C\x00e\x00n\x00t\x00e\x00r\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x00000304 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x002\x006\x00E\x00E\x000\x006\x006\x008\x00-\x00A\x000\x000\x00A\x00-\x004\x004\x00D\x007\x00-\x009\x003\x007\x001\x00-\x00B\x00E\x00B\x000\x006\x004\x00C\x009\x008\x006\x008\x003\x00}\x00\\x000\x00\\x00:\x00:\x00{\x009\x00C\x007\x003\x00F\x005\x00E\x005\x00-\x007\x00A\x00E\x007\x00-\x004\x00E\x003\x002\x00-\x00A\x008\x00E\x008\x00-\x008\x00D\x002\x003\x00B\x008\x005\x002\x005\x005\x00B\x00F\x00}\x00\x00\x00 KeyHandle => 0x00000304 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {915221FB-9EFE-4BDA-8FD7-F78DCA774F87} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 2 KeyHandle => 0x00000300 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => C\x00r\x00e\x00d\x00e\x00n\x00t\x00i\x00a\x00l\x00M\x00a\x00n\x00a\x00g\x00e\x00r\x00\x00\x00 KeyHandle => 0x00000300 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => RelativePath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4} |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 4 KeyHandle => 0x00000304 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => S\x00a\x00v\x00e\x00d\x00G\x00a\x00m\x00e\x00s\x00\x00\x00 KeyHandle => 0x00000304 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => S\x00a\x00v\x00e\x00d\x00 \x00G\x00a\x00m\x00e\x00s\x00\x00\x00 KeyHandle => 0x00000304 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => ParsingName |
FAILURE | 0x80000005 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => :\x00:\x00{\x005\x009\x000\x003\x001\x00a\x004\x007\x00-\x003\x00f\x007\x002\x00-\x004\x004\x00a\x007\x00-\x008\x009\x00c\x005\x00-\x005\x005\x009\x005\x00f\x00e\x006\x00b\x003\x000\x00e\x00e\x00}\x00\\x00{\x004\x00C\x005\x00C\x003\x002\x00F\x00F\x00-\x00B\x00B\x009\x00D\x00-\x004\x003\x00b\x000\x00-\x00B\x005\x00B\x004\x00-\x002\x00D\x007\x002\x00E\x005\x004\x00E\x00A\x00A\x00A\x004\x00}\x00\x00\x00 KeyHandle => 0x00000304 ValueName => ParsingName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => @\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x004\x00\x00\x00 KeyHandle => 0x00000304 ValueName => LocalizedName Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x008\x006\x00\x00\x00 KeyHandle => 0x00000304 ValueName => Icon Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Roamable Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => PreCreate Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => PublishExpandedPath Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000304 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => {4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4} |
FAILURE | 0xc0000034 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000308 ObjectAttributes => Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00\x00\x00 KeyHandle => 0x00000308 ValueName => ProfileImagePath Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,725 | 2356 | LdrGetProcedureAddress |
Ordinal => 332 FunctionName => FunctionAddress => 0x740664f2 ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000300 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00\xd0\xe9&\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa4\xe70\x05\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\xb6Loe\x00\x03\x00\x00.\x000\x00\xd8`&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\xa0\xd9D\x00\x00\x00\x00\x00\x04\x00\x00\x00\x00\x00D\x00\x00\x00\x00\x00\xda\x98\x12w4t\x0b\xe6:Moe\x04\x00\x00\x00 \xce\x83e\xa8\xd9D\x00\x8e\x00\x00\x00\x8e\x00\x00\x00\xa8\xd9D\x00\xc4\xe20\x05\x00\x00\x00\x00l\xe70\x05\xd5\x8c\x14w |
FAILURE | 0xc0000024 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,725 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => Data |
FAILURE | 0x80000005 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => KeyHandle => 0x00000304 ValueName => Data Type => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows\Explorer |
FAILURE | 0xc0000034 | 1 time |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \xb0\x00\x00\x00\x00\x00\x00\x00\xae\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x003\x00
\x00
\x00 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => IsTextUnicode FunctionAddress => 0x7656bee4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | LdrGetProcedureAddress |
Ordinal => 338 FunctionName => FunctionAddress => 0x74064381 ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \3ak=\x04\xca\x01\xf0\xd1p\xb2)g\xd0\x01\3ak=\x04\xca\x01`)SU\xa0\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | LdrGetProcedureAddress |
Ordinal => 339 FunctionName => FunctionAddress => 0x74060c69 ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryDirectoryFile |
FileName => Searches FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x80z\xe4\xad\x98\xb2\xcf\x01\x90X\xf4\x8f(g\xd0\x01\xd0,\xef\xad\x98\xb2\xcf\x01\xd0,\xef\xad\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf9\x19\x00\x00\x00\x00\x03\x00S\x00e\x00a\x00r\x00c\x00h\x00e\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Searches\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \x10\x02\x00\x00\x00\x00\x00\x00\x0c\x02\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x009\x000\x003\x001\x00
\x00
\x00I\x00c\x00o\x00n\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00=\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00e\x00 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \x80z\xe4\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01\xa0\xa5\xed\xad\x98\xb2\xcf\x01\xd0,\xef\xad\x98\xb2\xcf\x01\x06\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemFree FunctionAddress => 0x77014003 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000304 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x008\xd4'\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x04\x03\x00\x00.\x000\x00\x10a&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00DV%\x00\xe0U%\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,725 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryDirectoryFile |
FileName => Videos FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xc0OT\xa8\x98\xb2\xcf\x01\x90X\xf4\x8f(g\xd0\x01p\xab\xd3\xad\x98\xb2\xcf\x01\x10\x10\xe9\xad\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x0c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\x00\x00\x07\x00V\x00i\x00d\x00e\x00o\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Videos\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000300 FileInformation => \xf8\x01\x00\x00\x00\x00\x00\x00\xf8\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x001\x00
\x00
\x00I\x00n\x00f\x00o\x00T\x00i\x00p\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000300 FileInformation => p\xab\xd3\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01\xa02\xd5\xad\x98\xb2\xcf\x01\xa02\xd5\xad\x98\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,725 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000300 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00\xb8\xf2'\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00.\x000\x00\xd8`&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@V%\x00\xdeU%\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Pictures FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xc0OT\xa8\x98\xb2\xcf\x01\x90\xf2\xfc\xaf&g\xd0\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01\xb0\x01\xe6\xad\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x004\x00\x00\x00\x00\x00\x03\x00P\x00i\x00c\x00t\x00u\x00r\x00e\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Pictures\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \xf8\x01\x00\x00\x00\x00\x00\x00\xf8\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x007\x009\x00
\x00
\x00I\x00n\x00f\x00o\x00T\x00i\x00p\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \xd0\xb9\xd6\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000304 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00\xf8\xff'\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x04\x03\x00\x00.\x000\x00\x10a&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00FV%\x00\xe0U%\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Desktop FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xf0\xd6U\xa8\x98\xb2\xcf\x01\xa0N\xf5\xaf&g\xd0\x010\xe2\x847\x18g\xd0\x010\xe2\x847\x18g\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x0e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd4\x00\x00\x00\x00\x00\x02\x00D\x00e\x00s\x00k\x00t\x00o\x00p\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000300 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00\x98\x04(\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00.\x000\x00\xd8`&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00r^'\x006^'\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Contacts FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xd0\xb9\xd6\xad\x98\xb2\xcf\x01\xf0f\xf7\x8f(g\xd0\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xec\x19\x00\x00\x00\x00\x02\x00C\x00o\x00n\x00t\x00a\x00c\x00t\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Contacts\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \xa0\x01\x00\x00\x00\x00\x00\x00\x9c\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00C\x00o\x00m\x00m\x00o\x00n\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x00\\x00w\x00a\x00b\x003\x002\x00r\x00e\x00s\x00.\x00d\x00l\x00l\x00,\x00-\x001\x000\x001\x000\x000\x00
\x00
\x00I\x00n\x00f\x00o\x00T\x00i\x00p\x00=\x00@\x00%\x00C\x00o\x00m\x00m\x00o\x00n\x00P\x00r\x00o\x00g\x00r\x00a\x00m\x00F\x00i\x00l\x00e\x00s\x00%\x00\\x00s\x00y\x00s\x00t\x00 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \xd0\xb9\xd6\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000304 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00\xb8 (\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x04\x03\x00\x00.\x000\x00\x10a&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00:"%\x00\x88!%\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Favorites FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xc0OT\xa8\x98\xb2\xcf\x01 \xee\xf8\x8f(g\xd0\x01\x80\x81\xa9\xb0\x98\xb2\xcf\x01\x80\x81\xa9\xb0\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x10\x00F\x00A\x00V\x00O\x00R\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x008\x00\x00\x00\x00\x00\x03\x00F\x00a\x00v\x00o\x00r\x00i\x00t\x00e\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Favorites\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000300 FileInformation => \x98\x01\x00\x00\x00\x00\x00\x00\x92\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x006\x00
\x00
\x00I\x00c\x00o\x00n\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00=\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000300 FileInformation => \xd0\xb9\xd6\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000300 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00\xb8 (\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00.\x000\x00\xd8`&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90\x9f%\x00(\x9f%\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Music FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xc0OT\xa8\x98\xb2\xcf\x01 \xee\xf8\x8f(g\xd0\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01@\x97\xea\xad\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x005\x00\x00\x00\x00\x00\x03\x00M\x00u\x00s\x00i\x00c\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Music\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \xf8\x01\x00\x00\x00\x00\x00\x00\xf8\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x000\x00
\x00
\x00I\x00n\x00f\x00o\x00T\x00i\x00p\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \xd0\xb9\xd6\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01\xd0\xb9\xd6\xad\x98\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000304 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00p.(\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x04\x03\x00\x00.\x000\x00\x10a&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd4\x8f'\x00t\x8f'\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Downloads FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xf0\xd6U\xa8\x98\xb2\xcf\x01\x10\xef`\x8e(g\xd0\x01\x10\xef`\x8e(g\xd0\x01\x10\xef`\x8e(g\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x10\x00D\x00O\x00W\x00N\x00L\x00O\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd2\x00\x00\x00\x00\x00\x03\x00D\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Downloads\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000300 FileInformation => \x01\x00\x00\x00\x00\x00\x00\x1a\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x009\x008\x00
\x00
\x00I\x00c\x00o\x00n\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00=\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000300 FileInformation => \x80z\xe4\xad\x98\xb2\xcf\x01@\xf0?\x91(g\xd0\x01\x80z\xe4\xad\x98\xb2\xcf\x01\x80z\xe4\xad\x98\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000300 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00\xa0:(\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00.\x000\x00\xd8`&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90\x9f%\x00(\x9f%\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Documents FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xf0\xd6U\xa8\x98\xb2\xcf\x01\x10\xb9\xf0\xaf&g\xd0\x01\x10\x10\xe9\xad\x98\xb2\xcf\x01\x10\x10\xe9\xad\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x10\x00D\x00O\x00C\x00U\x00M\x00E\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd3\x00\x00\x00\x00\x00\x02\x00D\x00o\x00c\x00u\x00m\x00e\x00n\x00t\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Documents\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \x98\x01\x00\x00\x00\x00\x00\x00\x92\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x007\x007\x000\x00
\x00
\x00I\x00c\x00o\x00n\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00=\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \x00A\xd8\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01\x10\x10\xe9\xad\x98\xb2\xcf\x01\x10\x10\xe9\xad\x98\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000304 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00H\x87(\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x02\x00\x80\x00\x04\x03\x00\x00.\x000\x00\x10a&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90\x9f%\x00(\x9f%\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000304 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000300 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Links FileHandle => 0x00000300 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xc0OT\xa8\x98\xb2\xcf\x01Pu\xfa\x8f(g\xd0\x01\xf0W\xf8\xad\x98\xb2\xcf\x01\xf0W\xf8\xad\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x007\x00\x00\x00\x00\x00\x05\x00L\x00i\x00n\x00k\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Links\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000300 FileInformation => H\x02\x00\x00\x00\x00\x00\x00D\x02\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x000\x00
\x00
\x00I\x00c\x00o\x00n\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00=\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000300 FileInformation => @\x97\xea\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01\xf0W\xf8\xad\x98\xb2\xcf\x01\xf0W\xf8\xad\x98\xb2\xcf\x01\x06\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000300 OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00P\x96(\x00\x00\x00\x00\x00\x1c\xe20\x05\x01\x00\x00\x00\x88\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$wL\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00t\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xe40\x050\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00.\x000\x00\xd8`&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00o\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00T\x91'\x00\xf4\x90'\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x00000300 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,735 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x00000300 OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryDirectoryFile |
FileName => Saved Games FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\xc0OT\xa8\x98\xb2\xcf\x01Pu\xfa\x8f(g\xd0\x01p\x1e\xec\xad\x98\xb2\xcf\x01p\x1e\xec\xad\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x16\x00\x00\x00\x00\x00\x00\x00\x10\x00S\x00A\x00V\x00E\x00D\x00G\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x002\x00\x00\x00\x00\x00\x04\x00S\x00a\x00v\x00e\x00d\x00 \x00G\x00a\x00m\x00e\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users\Administrator\Saved Games\desktop.ini DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => \x01\x00\x00\x00\x00\x00\x00\x1a\x01\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtReadFile |
Buffer => \xff\xfe
\x00
\x00[\x00.\x00S\x00h\x00e\x00l\x00l\x00C\x00l\x00a\x00s\x00s\x00I\x00n\x00f\x00o\x00]\x00
\x00
\x00L\x00o\x00c\x00a\x00l\x00i\x00z\x00e\x00d\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00N\x00a\x00m\x00e\x00=\x00@\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00,\x00-\x002\x001\x008\x001\x004\x00
\x00
\x00I\x00c\x00o\x00n\x00R\x00e\x00s\x00o\x00u\x00r\x00c\x00e\x00=\x00%\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00i\x00m\x00a\x00g\x00e\x00r\x00 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryInformationFile |
FileHandle => 0x00000304 FileInformation => p\x1e\xec\xad\x98\xb2\xcf\x01pwA\x91(g\xd0\x01p\x1e\xec\xad\x98\xb2\xcf\x01p\x1e\xec\xad\x98\xb2\xcf\x01&\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | LdrGetProcedureAddress |
Ordinal => 386 FunctionName => FunctionAddress => 0x7406665d ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\UsersFiles\NameSpace |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | RegEnumKeyW |
Handle => 0x00000304 Name => DelegateFolders Index => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => DelegateFolders |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueW FunctionAddress => 0x7656b96b ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | RegEnumKeyW |
Handle => 0x00000304 Name => Index => 1 |
FAILURE | 0x00000103 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\UsersFiles\NameSpace |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\UsersFiles\NameSpace\DelegateFolders |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | RegEnumKeyW |
Handle => 0x00000304 Name => {DFFACDC5-679F-4156-8947-C5C76BC0B67F} Index => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000300 ObjectAttributes => {DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000300 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | RegEnumKeyW |
Handle => 0x00000304 Name => {DFFACDC5-679F-4156-8947-C5C76BC0B67F} Index => 1 |
FAILURE | 0x00000103 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\UsersFiles\NameSpace\DelegateFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000304 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => UsersFiles\NameSpace |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => UsersFiles\NameSpace\DelegateFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,735 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:04,735 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => CallForAttributes |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => RestrictedAttributes |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => WantsFORDISPLAY |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => HideFolderVerbs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => UseDropHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000306 ValueName => WantsFORPARSING Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000306 ValueName => WantsParseDisplayName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000306 ValueName => QueryForOverlay Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => MapNetDriveVerbs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => QueryForInfoTip |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => HideInWebView |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => HideOnDesktopPerUser |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000306 ValueName => WantsAliasedNotifications Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => WantsUniversalDelegate |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => NoFileFolderJunction |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => PinToNameSpaceTree |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00S\x00h\x00e\x00l\x00l\x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => HasNavigationEnum |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | 1 time |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000304 ValueName => {DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00d\x00o\x00c\x00v\x00w\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000306 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => LoadWithoutCOM |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Blocked |
FAILURE | 0xc0000034 | 1 time |
| 23:22:04,745 | 2356 | LdrLoadDll |
Flags => 87092016 BaseAddress => 0x75240000 FileName => apphelp.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ApphelpCheckShellObject FunctionAddress => 0x75249b37 ModuleHandle => 0x75240000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 2147483648 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{dffacdc5-679f-4156-8947-c5c76bc0b67f}\InProcServer32 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00d\x00o\x00c\x00v\x00w\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000304 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x00000000 FileName => shdocvw.dll |
FAILURE | 0xc0000135 | |
| 23:22:04,745 | 2356 | NtOpenFile |
ShareAccess => 5 FileName => C:\Windows\System32\shdocvw.dll DesiredAccess => 0x00100081 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 8 KeyHandle => 0x00000300 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500\Software\Microsoft\Windows NT\CurrentVersion |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 257 KeyHandle => 0x00000000 ObjectAttributes => AppCompatFlags\Layers |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 8 KeyHandle => 0x00000308 ObjectAttributes => \Registry\Machine\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 257 KeyHandle => 0x00000000 ObjectAttributes => Custom\shdocvw.dll |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\ShellFolder |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => KeyHandle => 0x00000304 ValueName => {DFFACDC5-679F-4156-8947-C5C76BC0B67F} {ADD8BA80-002B-11D0-8F0F-00C04FD7D062} 0xFFFF Type => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => d\x00e\x00l\x00e\x00g\x00a\x00t\x00e\x00 \x00f\x00o\x00l\x00d\x00e\x00r\x00 \x00t\x00h\x00a\x00t\x00 \x00a\x00p\x00p\x00e\x00a\x00r\x00s\x00 \x00i\x00n\x00 \x00U\x00s\x00e\x00r\x00s\x00 \x00F\x00i\x00l\x00e\x00s\x00 \x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x00000306 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => d\x00e\x00l\x00e\x00g\x00a\x00t\x00e\x00 \x00f\x00o\x00l\x00d\x00e\x00r\x00 \x00t\x00h\x00a\x00t\x00 \x00a\x00p\x00p\x00e\x00a\x00r\x00s\x00 \x00i\x00n\x00 \x00U\x00s\x00e\x00r\x00s\x00 \x00F\x00i\x00l\x00e\x00s\x00 \x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x00000306 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000030e ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00d\x00o\x00c\x00v\x00w\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x0000030e ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00d\x00o\x00c\x00v\x00w\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x0000030e ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00d\x00o\x00c\x00v\x00w\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x0000030e ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x0000030e ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x0000030c ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | LdrLoadDll |
Flags => 87088100 BaseAddress => 0x70bc0000 FileName => C:\Windows\System32\shdocvw.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllGetClassObject FunctionAddress => 0x70bc2037 ModuleHandle => 0x70bc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllCanUnloadNow FunctionAddress => 0x70bc31e6 ModuleHandle => 0x70bc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb0\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => {\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00 KeyHandle => 0x00000306 ValueName => CLSID Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{0E5AAE11-A475-4C5B-AB00-C66DE400274E}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000030c ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{0E5AAE11-A475-4C5B-AB00-C66DE400274E}\InProcServer32 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x0000030e ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000030e ValueName => LoadWithoutCOM |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{0E5AAE11-A475-4C5B-AB00-C66DE400274E} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{0E5AAE11-A475-4C5B-AB00-C66DE400274E} |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => S\x00h\x00e\x00l\x00l\x00 \x00F\x00i\x00l\x00e\x00 \x00S\x00y\x00s\x00t\x00e\x00m\x00 \x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x0000030e ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => S\x00h\x00e\x00l\x00l\x00 \x00F\x00i\x00l\x00e\x00 \x00S\x00y\x00s\x00t\x00e\x00m\x00 \x00F\x00o\x00l\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x0000030e ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000310 ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000312 ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000312 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000312 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00s\x00h\x00e\x00l\x00l\x003\x002\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000312 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x00000312 ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x00000310 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{0E5AAE11-A475-4C5B-AB00-C66DE400274E} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{0E5AAE11-A475-4C5B-AB00-C66DE400274E} |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x00E\x005\x00A\x00A\x00E\x001\x001\x00-\x00A\x004\x007\x005\x00-\x004\x00c\x005\x00b\x00-\x00A\x00B\x000\x000\x00-\x00C\x006\x006\x00D\x00E\x004\x000\x000\x002\x007\x004\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{0E5AAE11-A475-4c5b-AB00-C66DE400274E}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | LdrLoadDll |
Flags => 87083860 BaseAddress => 0x756a0000 FileName => C:\Windows\system32\shell32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllGetClassObject FunctionAddress => 0x757524c1 ModuleHandle => 0x756a0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllCanUnloadNow FunctionAddress => 0x75759769 ModuleHandle => 0x756a0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => \xef\xfe\xb0\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance\InitPropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => InitPropertyBag |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrLoadDll |
Flags => 87088528 BaseAddress => 0x741d0000 FileName => PROPSYS.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSPropertyBag_ReadDWORD FunctionAddress => 0x741e42ec ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrLoadDll |
Flags => 87088376 BaseAddress => 0x76f30000 FileName => OLEAUT32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 8 FunctionName => FunctionAddress => 0x76f33ed5 ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xff\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\\x00I\x00n\x00i\x00t\x00P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00B\x00a\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance\InitPropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => 17 KeyHandle => 0x0000030e ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xff\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\\x00I\x00n\x00i\x00t\x00P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00B\x00a\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance\InitPropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => 17 KeyHandle => 0x0000030e ValueName => Attributes Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xff\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\\x00I\x00n\x00i\x00t\x00P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00B\x00a\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance\InitPropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000030e ValueName => DescriptionID |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSPropertyBag_ReadBSTR FunctionAddress => 0x741e3f13 ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xff\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\\x00I\x00n\x00i\x00t\x00P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00B\x00a\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance\InitPropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000030e ValueName => HelpTopic |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xff\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\\x00I\x00n\x00i\x00t\x00P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00B\x00a\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance\InitPropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000030e ValueName => RecursiveSearch |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSPropertyBag_ReadGUID FunctionAddress => 0x741e4395 ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xff\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\\x00I\x00n\x00i\x00t\x00P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00B\x00a\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance\InitPropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => {\x005\x00E\x006\x00C\x008\x005\x008\x00F\x00-\x000\x00E\x002\x002\x00-\x004\x007\x006\x000\x00-\x009\x00A\x00F\x00E\x00-\x00E\x00A\x003\x003\x001\x007\x00B\x006\x007\x001\x007\x003\x00}\x00\x00\x00 KeyHandle => 0x0000030e ValueName => TargetKnownFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | LdrGetProcedureAddress |
Ordinal => 150 FunctionName => FunctionAddress => 0x76f34731 ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => \xef\xff\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x00F\x00F\x00A\x00C\x00D\x00C\x005\x00-\x006\x007\x009\x00F\x00-\x004\x001\x005\x006\x00-\x008\x009\x004\x007\x00-\x00C\x005\x00C\x007\x006\x00B\x00C\x000\x00B\x006\x007\x00F\x00}\x00\\x00I\x00n\x00s\x00t\x00a\x00n\x00c\x00e\x00\\x00I\x00n\x00i\x00t\x00P\x00r\x00o\x00p\x00e\x00r\x00t\x00y\x00B\x00a\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\Instance\InitPropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => {\x005\x00E\x006\x00C\x008\x005\x008\x00F\x00-\x000\x00E\x002\x002\x00-\x004\x007\x006\x000\x00-\x009\x00A\x00F\x00E\x00-\x00E\x00A\x003\x003\x001\x007\x00B\x006\x007\x001\x007\x003\x00}\x00\x00\x00 KeyHandle => 0x0000030e ValueName => TargetKnownFolder Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\{DFFACDC5-679F-4156-8947-C5C76BC0B67F} |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenFile |
ShareAccess => 3 FileName => C: DesiredAccess => 0x00100080 FileHandle => 0x0000030c |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x0000030c OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00P\x96(\x00\x00\x00\x00\x00P\xe20\x05\x01\x00\x00\x00\xbc\xe40\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x03\x00\x00\x00\x16\xbc$w\x80\xe50\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00D\x00\x80\x00\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\xa8\xe20\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1c\xe50\x050\x00\x00\x008\x06\xee\x03\x0c\x03\x00\x00.\x000\x00\xb8a&\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x000\x06\xee\x03\xfc\xe30\x05\x07\x80$w\x00\x00D\x00\x02\x00\x00\x00\x1b\x80$w\x03|\x15r\x00\x00D\x00l\x01\x00\x008\x06\xee\x03\x00\x00\x00\x00\x00\x00\x00\x00\xeb\xc1tuhg(\x00$\xe30\x05\x8a\xb3sudg(\x00<\xe30\x05 |
FAILURE | 0xc0000024 | |
| 23:22:04,745 | 2356 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000030c |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x0000030c OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,745 | 2356 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x0000030c OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000304 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\ DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryDirectoryFile |
FileName => Users FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x00\x8fF\x01\xfa+\x04\xca\x01@\xa7\x89h|g\xd0\x010G7\xa8\x98\xb2\xcf\x010G7\xa8\x98\xb2\xcf\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd1\x00\x00\x00\x00\x00\x01\x00U\x00s\x00e\x00r\x00s\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtCreateFile |
ShareAccess => 7 FileName => C:\Users DesiredAccess => 0x00100081 CreateDisposition => 1 FileHandle => 0x00000304 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryDirectoryFile |
FileName => Administrator FileHandle => 0x00000304 FileInformation => \x00\x00\x00\x00\x00\x00\x00\x000G7\xa8\x98\xb2\xcf\x01@\xa7\x89h|g\xd0\x01\xac\xb9/r\x99f\xd0\x01\xac\xb9/r\x99f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x1a\x00\x00\x00\x00\x00\x00\x00\x10\x00A\x00D\x00M\x00I\x00N\x00I\x00~\x001\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x04\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
Information => e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x00000306 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => .exe\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\.exe\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 7 ValueCount => 0 MaxSubKeyLength => 0 KeyHandle => 0x00000304 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | RegEnumValueW |
Index => 0 Handle => 0x00000304 DataLength => 0 ValueName => exefile Type => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | RegEnumValueW |
Index => 1 Handle => 0x00000304 DataLength => 0 ValueName => exefile Type => 87087628 |
FAILURE | 0x00000103 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => .exe |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000310 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => UserChoice |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000310 ObjectAttributes => \Registry\Machine\Software\Classes\exefile |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000310 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000312 ValueName => IsShortcut |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.exe\ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => \Registry\Machine\Software\Classes\SystemFileAssociations\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe\ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,745 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,745 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => * |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000314 ObjectAttributes => \Registry\Machine\Software\Classes\* |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000316 KeyInformation => H\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000318 ObjectAttributes => \Registry\Machine\Software\Classes\AllFilesystemObjects |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000031a KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ShellEx\DataHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000310 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000312 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x00000312 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => .exe\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\.exe\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000310 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 7 ValueCount => 0 MaxSubKeyLength => 0 KeyHandle => 0x00000310 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumValueW |
Index => 0 Handle => 0x00000310 DataLength => 0 ValueName => exefile Type => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumValueW |
Index => 1 Handle => 0x00000310 DataLength => 0 ValueName => exefile Type => 87093236 |
FAILURE | 0x00000103 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000310 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => .exe |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => UserChoice |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => \Registry\Machine\Software\Classes\exefile |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000030c ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000030e ValueName => IsShortcut |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000304 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000314 ObjectAttributes => \Registry\Machine\Software\Classes\SystemFileAssociations\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000316 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000318 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000030e KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Clsid |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => * |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000031c ObjectAttributes => \Registry\Machine\Software\Classes\* |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000031e KeyInformation => H\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\* |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000320 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000324 ObjectAttributes => \Registry\Machine\Software\Classes\AllFilesystemObjects |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000326 KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000328 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x0000032c ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\CMF\Config |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000032c ValueName => SYSTEM Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\system32\en-US\SHELL32.dll.mui DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x0000032c |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x00000330 FileHandle => 0x0000032c |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530e794 SectionHandle => 0x00000330 ProcessHandle => 0xffffffff BaseAddress => 0x01a90000 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,755 | 2396 | LdrLoadDll |
Flags => 90765892 BaseAddress => 0x76990000 FileName => SETUPAPI.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CM_Get_Device_Interface_List_Size_ExW FunctionAddress => 0x75535ff7 ModuleHandle => 0x76990000 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2396 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CM_Get_Device_Interface_List_ExW FunctionAddress => 0x75535480 ModuleHandle => 0x76990000 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | LdrGetProcedureAddress |
Ordinal => 327 FunctionName => FunctionAddress => 0x740622dd ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shellex\ContextMenuHandlers |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000330 ObjectAttributes => shellex\ContextMenuHandlers |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => Compatibility Index => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x8c\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shellex\ContextMenuHandlers\Compatibility |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => Compatibility |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\xa8\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00C\x00o\x00m\x00p\x00a\x00t\x00i\x00b\x00i\x00l\x00i\x00t\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shellex\ContextMenuHandlers\Compatibility |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\xa8\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00C\x00o\x00m\x00p\x00a\x00t\x00i\x00b\x00i\x00l\x00i\x00t\x00y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shellex\ContextMenuHandlers\Compatibility |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => {\x001\x00d\x002\x007\x00f\x008\x004\x004\x00-\x003\x00a\x001\x00f\x00-\x004\x004\x001\x000\x00-\x008\x005\x00a\x00c\x00-\x001\x004\x006\x005\x001\x000\x007\x008\x004\x001\x002\x00d\x00}\x00\x00\x00 KeyHandle => 0x00000336 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {1d27f844-3a1f-4410-85ac-14651078412d} Index => 1 |
FAILURE | 0x00000103 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000031a KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe\shellex\ContextMenuHandlers |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => shellex\ContextMenuHandlers |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000322 KeyInformation => H\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000330 ObjectAttributes => shellex\ContextMenuHandlers |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => Open With Index => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x80\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Open With |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => Open With |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\x94\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00O\x00p\x00e\x00n\x00 \x00W\x00i\x00t\x00h\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Open With |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\x94\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00O\x00p\x00e\x00n\x00 \x00W\x00i\x00t\x00h\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Open With |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => {\x000\x009\x007\x009\x009\x00A\x00F\x00B\x00-\x00A\x00D\x006\x007\x00-\x001\x001\x00d\x001\x00-\x00A\x00B\x00C\x00D\x00-\x000\x000\x00C\x000\x004\x00F\x00C\x003\x000\x009\x003\x006\x00}\x00\x00\x00 KeyHandle => 0x00000336 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => Open With EncryptionMenu Index => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x80\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Open With EncryptionMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => Open With EncryptionMenu |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\xb2\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00O\x00p\x00e\x00n\x00 \x00W\x00i\x00t\x00h\x00 \x00E\x00n\x00c\x00r\x00y\x00p\x00t\x00i\x00o\x00n\x00M\x00e\x00n\x00u\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Open With EncryptionMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\xb2\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00O\x00p\x00e\x00n\x00 \x00W\x00i\x00t\x00h\x00 \x00E\x00n\x00c\x00r\x00y\x00p\x00t\x00i\x00o\x00n\x00M\x00e\x00n\x00u\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Open With EncryptionMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => {\x00A\x004\x007\x000\x00F\x008\x00C\x00F\x00-\x00A\x001\x00E\x008\x00-\x004\x00f\x006\x005\x00-\x008\x003\x003\x005\x00-\x002\x002\x007\x004\x007\x005\x00A\x00A\x005\x00C\x004\x006\x00}\x00\x00\x00 KeyHandle => 0x00000336 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => Sharing Index => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x80\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Sharing |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => Sharing |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00S\x00h\x00a\x00r\x00i\x00n\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Sharing |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\x90\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00S\x00h\x00a\x00r\x00i\x00n\x00g\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\Sharing |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => {\x00f\x008\x001\x00e\x009\x000\x001\x000\x00-\x006\x00e\x00a\x004\x00-\x001\x001\x00c\x00e\x00-\x00a\x007\x00f\x00f\x00-\x000\x000\x00a\x00a\x000\x000\x003\x00c\x00a\x009\x00f\x006\x00}\x00\x00\x00 KeyHandle => 0x00000336 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => WinRAR Index => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x80\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\WinRAR |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => WinRAR |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\x8e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00W\x00i\x00n\x00R\x00A\x00R\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\WinRAR |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\x8e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00W\x00i\x00n\x00R\x00A\x00R\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\WinRAR |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => {\x00B\x004\x001\x00D\x00B\x008\x006\x000\x00-\x008\x00E\x00E\x004\x00-\x001\x001\x00D\x002\x00-\x009\x009\x000\x006\x00-\x00E\x004\x009\x00F\x00A\x00D\x00C\x001\x007\x003\x00C\x00A\x00}\x00\x00\x00 KeyHandle => 0x00000336 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {90AA3A4E-1CBA-4233-B8BB-535773D48449} Index => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x80\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\{90AA3A4E-1CBA-4233-B8BB-535773D48449} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => {90AA3A4E-1CBA-4233-B8BB-535773D48449} |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xff\x8e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00{\x009\x000\x00A\x00A\x003\x00A\x004\x00E\x00-\x001\x00C\x00B\x00A\x00-\x004\x002\x003\x003\x00-\x00B\x008\x00B\x00B\x00-\x005\x003\x005\x007\x007\x003\x00D\x004\x008\x004\x004\x009\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\{90AA3A4E-1CBA-4233-B8BB-535773D48449} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Index => 5 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x80\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => {a2a9545d-a0c2-42b4-9708-a0b2badd77c8} |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xff\x8e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00{\x00a\x002\x00a\x009\x005\x004\x005\x00d\x00-\x00a\x000\x00c\x002\x00-\x004\x002\x00b\x004\x00-\x009\x007\x000\x008\x00-\x00a\x000\x00b\x002\x00b\x00a\x00d\x00d\x007\x007\x00c\x008\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Index => 6 |
FAILURE | 0x00000103 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000032a KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000330 ObjectAttributes => shellex\ContextMenuHandlers |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => CopyAsPathMenu Index => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\CopyAsPathMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => CopyAsPathMenu |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xff\x84\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00C\x00o\x00p\x00y\x00A\x00s\x00P\x00a\x00t\x00h\x00M\x00e\x00n\x00u\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\CopyAsPathMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xff\x84\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00C\x00o\x00p\x00y\x00A\x00s\x00P\x00a\x00t\x00h\x00M\x00e\x00n\x00u\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\CopyAsPathMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => {\x00f\x003\x00d\x000\x006\x00e\x007\x00c\x00-\x001\x00e\x004\x005\x00-\x004\x00a\x002\x006\x00-\x008\x004\x007\x00e\x00-\x00f\x009\x00f\x00c\x00d\x00e\x00e\x005\x009\x00b\x00e\x000\x00}\x00\x00\x00 KeyHandle => 0x00000336 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => SendTo Index => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\SendTo |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => SendTo |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\xb4\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00S\x00e\x00n\x00d\x00T\x00o\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\SendTo |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\xb4\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00S\x00e\x00n\x00d\x00T\x00o\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\SendTo |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
Information => {\x007\x00B\x00A\x004\x00C\x007\x004\x000\x00-\x009\x00E\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x009\x009\x00D\x003\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00A\x00E\x008\x003\x007\x00}\x00\x00\x00 KeyHandle => 0x00000336 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} Index => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{474C98EE-CF3D-41f5-80E3-4AAB0AB04301} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xff\xb4\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00{\x004\x007\x004\x00C\x009\x008\x00E\x00E\x00-\x00C\x00F\x003\x00D\x00-\x004\x001\x00f\x005\x00-\x008\x000\x00E\x003\x00-\x004\x00A\x00A\x00B\x000\x00A\x00B\x000\x004\x003\x000\x001\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{474C98EE-CF3D-41f5-80E3-4AAB0AB04301} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {596AB062-B4D2-4215-9F74-E9109B0A8153} Index => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{596AB062-B4D2-4215-9F74-E9109B0A8153} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => {596AB062-B4D2-4215-9F74-E9109B0A8153} |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xff\xb4\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00{\x005\x009\x006\x00A\x00B\x000\x006\x002\x00-\x00B\x004\x00D\x002\x00-\x004\x002\x001\x005\x00-\x009\x00F\x007\x004\x00-\x00E\x009\x001\x000\x009\x00B\x000\x00A\x008\x001\x005\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{596AB062-B4D2-4215-9F74-E9109B0A8153} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {C2FBB630-2971-11D1-A18C-00C04FD75D13} Index => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{C2FBB630-2971-11D1-A18C-00C04FD75D13} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => {C2FBB630-2971-11D1-A18C-00C04FD75D13} |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xff\xb4\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00{\x00C\x002\x00F\x00B\x00B\x006\x003\x000\x00-\x002\x009\x007\x001\x00-\x001\x001\x00D\x001\x00-\x00A\x001\x008\x00C\x00-\x000\x000\x00C\x000\x004\x00F\x00D\x007\x005\x00D\x001\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{C2FBB630-2971-11D1-A18C-00C04FD75D13} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {C2FBB631-2971-11D1-A18C-00C04FD75D13} Index => 5 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{C2FBB631-2971-11D1-A18C-00C04FD75D13} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => {C2FBB631-2971-11D1-A18C-00C04FD75D13} |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xff\xb4\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\\x00s\x00h\x00e\x00l\x00l\x00e\x00x\x00\\x00C\x00o\x00n\x00t\x00e\x00x\x00t\x00M\x00e\x00n\x00u\x00H\x00a\x00n\x00d\x00l\x00e\x00r\x00s\x00\\x00{\x00C\x002\x00F\x00B\x00B\x006\x003\x001\x00-\x002\x009\x007\x001\x00-\x001\x001\x00D\x001\x00-\x00A\x001\x008\x00C\x00-\x000\x000\x00C\x000\x004\x00F\x00D\x007\x005\x00D\x001\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{C2FBB631-2971-11D1-A18C-00C04FD75D13} |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | RegEnumKeyW |
Handle => 0x00000332 Name => {C2FBB631-2971-11D1-A18C-00C04FD75D13} Index => 6 |
FAILURE | 0x00000103 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{C2FBB631-2971-11D1-A18C-00C04FD75D13}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{C2FBB631-2971-11D1-A18C-00C04FD75D13}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{C2FBB630-2971-11D1-A18C-00C04FD75D13}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{C2FBB630-2971-11D1-A18C-00C04FD75D13}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{596AB062-B4D2-4215-9F74-E9109B0A8153}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{596AB062-B4D2-4215-9F74-E9109B0A8153}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{7BA4C740-9E81-11CF-99D3-00AA004AE837}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{7BA4C740-9E81-11CF-99D3-00AA004AE837}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{F3D06E7C-1E45-4A26-847E-F9FCDEE59BE0}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{F3D06E7C-1E45-4A26-847E-F9FCDEE59BE0}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{A2A9545D-A0C2-42B4-9708-A0B2BADD77C8}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{A2A9545D-A0C2-42B4-9708-A0B2BADD77C8}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{90AA3A4E-1CBA-4233-B8BB-535773D48449}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,755 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,755 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{F81E9010-6EA4-11CE-A7FF-00AA003CA9F6}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{F81E9010-6EA4-11CE-A7FF-00AA003CA9F6}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{A470F8CF-A1E8-4F65-8335-227475AA5C46}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{A470F8CF-A1E8-4F65-8335-227475AA5C46}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{09799AFB-AD67-11D1-ABCD-00C04FC30936}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000330 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{09799AFB-AD67-11D1-ABCD-00C04FC30936}\shellex\MayChangeDefaultMenu |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{09799AFB-AD67-11D1-ABCD-00C04FC30936}\shellex\NoAddToRecent |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{09799AFB-AD67-11D1-ABCD-00C04FC30936}\shellex\NoAddToRecent |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ReleaseStgMedium FunctionAddress => 0x76fdd82e ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSLookupPropertyHandlerCLSID FunctionAddress => 0x741e256b ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyExW FunctionAddress => 0x7656bec4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | RegOpenKeyExW |
Handle => 0x00000330 Registry => 0x80000002 SubKey => Software\Microsoft\Windows\CurrentVersion\PropertySystem\PropertyHandlers\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueExW FunctionAddress => 0x7656bcd5 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | RegQueryValueExW |
Handle => 0x00000330 Data => {\x006\x006\x007\x004\x002\x004\x000\x002\x00-\x00F\x009\x00B\x009\x00-\x001\x001\x00D\x001\x00-\x00A\x002\x000\x002\x00-\x000\x000\x000\x000\x00F\x008\x001\x00F\x00E\x00D\x00E\x00E\x00}\x00\x00\x00 ValueName => |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegCloseKey FunctionAddress => 0x7656bed4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | RegCloseKey |
Handle => 0x00000330 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{66742402-F9B9-11D1-A202-0000F81FEDEE}\OverrideFileSystemProperties |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{66742402-F9B9-11D1-A202-0000F81FEDEE}\OverrideFileSystemProperties |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{66742402-F9B9-11D1-A202-0000F81FEDEE} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000330 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{66742402-F9B9-11D1-A202-0000F81FEDEE} |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x006\x006\x007\x004\x002\x004\x000\x002\x00-\x00F\x009\x00B\x009\x00-\x001\x001\x00D\x001\x00-\x00A\x002\x000\x002\x00-\x000\x000\x000\x000\x00F\x008\x001\x00F\x00E\x00D\x00E\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{66742402-F9B9-11D1-A202-0000F81FEDEE} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000332 ValueName => DisableProcessIsolation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x006\x006\x007\x004\x002\x004\x000\x002\x00-\x00F\x009\x00B\x009\x00-\x001\x001\x00D\x001\x00-\x00A\x002\x000\x002\x00-\x000\x000\x000\x000\x00F\x008\x001\x00F\x00E\x00D\x00E\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{66742402-F9B9-11D1-A202-0000F81FEDEE} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000332 ValueName => NoOplock |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => ExplorerCLSIDFlags\{66742402-F9B9-11D1-A202-0000F81FEDEE} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\ExplorerCLSIDFlags\{66742402-F9B9-11D1-A202-0000F81FEDEE} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x006\x006\x007\x004\x002\x004\x000\x002\x00-\x00F\x009\x00B\x009\x00-\x001\x001\x00D\x001\x00-\x00A\x002\x000\x002\x00-\x000\x000\x000\x000\x00F\x008\x001\x00F\x00E\x00D\x00E\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{66742402-F9B9-11D1-A202-0000F81FEDEE} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000332 ValueName => UseInProcHandlerCache |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x006\x006\x007\x004\x002\x004\x000\x002\x00-\x00F\x009\x00B\x009\x00-\x001\x001\x00D\x001\x00-\x00A\x002\x000\x002\x00-\x000\x000\x000\x000\x00F\x008\x001\x00F\x00E\x00D\x00E\x00E\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{66742402-F9B9-11D1-A202-0000F81FEDEE} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000332 ValueName => UseOutOfProcHandlerCache |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PSCreatePropertyStoreFromObject FunctionAddress => 0x741d7e4b ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | LdrLoadDll |
Flags => 87092660 BaseAddress => 0x76f30000 FileName => OLEAUT32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 6 FunctionName => FunctionAddress => 0x76f33e59 ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PropVariantToStringAlloc FunctionAddress => 0x741da369 ModuleHandle => 0x741d0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => SOFTWARE\Microsoft\Windows\CurrentVersion\ShellCompatibility\Objects\{09799AFB-AD67-11D1-ABCD-00C04FC30936} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000322 KeyInformation => H\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\* |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000322 ValueName => NoRecentDocs Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{09799AFB-AD67-11D1-ABCD-00C04FC30936} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000330 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{09799AFB-AD67-11D1-ABCD-00C04FC30936} |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x000\x009\x007\x009\x009\x00A\x00F\x00B\x00-\x00A\x00D\x006\x007\x00-\x001\x001\x00d\x001\x00-\x00A\x00B\x00C\x00D\x00-\x000\x000\x00C\x000\x004\x00F\x00C\x003\x000\x009\x003\x006\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{09799AFB-AD67-11d1-ABCD-00C04FC30936} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000332 ValueName => flags |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{1D27F844-3A1F-4410-85AC-14651078412D}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{1D27F844-3A1F-4410-85AC-14651078412D}\shellex\MayChangeDefaultMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000330 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000306 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000306 ValueName => NoRecentDocs |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000334 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x001\x00B\x002\x002\x004\x006\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x00C\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => flags |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000332 ValueName => NoStaticDefaultVerb |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemRealloc FunctionAddress => 0x76ffe9a6 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\Shell |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000334 ObjectAttributes => Shell |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => `\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => `\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000370 ObjectAttributes => open |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000374 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000376 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\Shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000378 ObjectAttributes => Shell\open |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => ExplorerCommandHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000037c ObjectAttributes => command |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => z\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\\x00c\x00o\x00m\x00m\x00a\x00n\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => DelegateExecute |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command\SupportedProtocols |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => command\SupportedProtocols |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command\SupportedProtocols |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => command\SupportedProtocols |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | RegEnumKeyW |
Handle => 0x00000336 Name => open Index => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | RegEnumKeyW |
Handle => 0x00000336 Name => runas Index => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => `\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000037c ObjectAttributes => runas |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000380 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000382 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\Shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000384 ObjectAttributes => Shell\runas |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => ExplorerCommandHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas\command |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000388 ObjectAttributes => command |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\\x00c\x00o\x00m\x00m\x00a\x00n\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas\command |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000038a ValueName => DelegateExecute |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas\DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas\command\SupportedProtocols |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => command\SupportedProtocols |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas\command\SupportedProtocols |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => command\SupportedProtocols |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | RegEnumKeyW |
Handle => 0x00000336 Name => runasuser Index => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => `\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000388 ObjectAttributes => runasuser |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000332 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x0000038c ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038e KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\Shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 9 KeyHandle => 0x00000390 ObjectAttributes => Shell\runasuser |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000392 KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000392 ValueName => ExplorerCommandHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000392 KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser\command |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000394 ObjectAttributes => command |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000396 KeyInformation => \xef\xfe\x84\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\\x00c\x00o\x00m\x00m\x00a\x00n\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser\command |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
Information => {\x00e\x00a\x007\x002\x00d\x000\x000\x00e\x00-\x004\x009\x006\x000\x00-\x004\x002\x00f\x00a\x00-\x00b\x00a\x009\x002\x00-\x007\x007\x009\x002\x00a\x007\x009\x004\x004\x00c\x001\x00d\x00}\x00\x00\x00 KeyHandle => 0x00000396 ValueName => DelegateExecute Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | RegEnumKeyW |
Handle => 0x00000336 Name => runasuser Index => 3 |
FAILURE | 0x00000103 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000038a ValueName => LegacyDisable |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000038a ValueName => CheckSupportedTypes |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000038a ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
Information => {\x00F\x002\x001\x001\x00A\x00A\x000\x005\x00-\x00D\x004\x00D\x00F\x00-\x004\x003\x007\x000\x00-\x00A\x002\x00A\x000\x00-\x009\x00F\x001\x009\x00C\x000\x009\x007\x005\x006\x00A\x007\x00}\x00\x00\x00 KeyHandle => 0x0000038a ValueName => SuppressionPolicyEx Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CLSIDFromString FunctionAddress => 0x76fde30d ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\CredUI |
FAILURE | 0xc0000034 | 1 time |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000038a ValueName => SuppressionSlapiPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => LegacyDisable |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => CheckSupportedTypes |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000334 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000334 ValueName => HideRunAsVerb |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000334 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000334 ValueName => HideRunAsVerb |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => SuppressionPolicyEx |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => SuppressionSlapiPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => LegacyDisable |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => CheckSupportedTypes |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => SuppressionPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => SuppressionPolicyEx |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => SuppressionSlapiPolicy |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => CommandStateHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => ExplorerCommandHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => DefaultAppliesTo |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => CommandFlags |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => SubCommands |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => ExtendedSubCommandsKey |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => HasLUAShield |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => Extended |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => OnlyInBrowserWindow |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => ProgrammaticAccessOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | GetSystemMetrics |
SystemMetricIndex => 67 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000334 ObjectAttributes => command |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000336 KeyInformation => z\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\\x00c\x00o\x00m\x00m\x00a\x00n\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000336 ValueName => DelegateExecute |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => MultiSelectModel |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000334 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000334 ValueName => MultipleInvokePromptMinimum |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000334 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000334 ValueName => MultipleInvokePromptMinimum |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => MUIVerb |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => ClientOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => ImpliedSelectionModel |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => StaticVerbOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => IsInContextMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => PaneVisibleProperty |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => AppliesTo |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => CommandStateHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => ReadWriteRequired |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => DownloadInvokeDisabled |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => MaxDownloadFileSize |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => Position |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => SeparatorBefore |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => SeparatorAfter |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => CommandStateHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => ExplorerCommandHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => DefaultAppliesTo |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => CommandFlags |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => SubCommands |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,765 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,765 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => ExtendedSubCommandsKey |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000386 ValueName => HasLUAShield Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => Extended |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => OnlyInBrowserWindow |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => ProgrammaticAccessOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | GetSystemMetrics |
SystemMetricIndex => 67 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas\command |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000394 ObjectAttributes => command |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000396 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\\x00c\x00o\x00m\x00m\x00a\x00n\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas\command |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000396 ValueName => DelegateExecute |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas\DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => MultiSelectModel |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000394 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000394 ValueName => MultipleInvokePromptMinimum |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000394 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000394 ValueName => MultipleInvokePromptMinimum |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => MUIVerb |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => ClientOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => ImpliedSelectionModel |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => StaticVerbOnly |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => IsInContextMenu |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => PaneVisibleProperty |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => AppliesTo |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => CommandStateHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => ReadWriteRequired |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => DownloadInvokeDisabled |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000386 KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000386 ValueName => MaxDownloadFileSize |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => Position |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => SeparatorBefore |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037e KeyInformation => l\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037e ValueName => SeparatorAfter |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000038a ValueName => CommandStateHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000038a ValueName => ExplorerCommandHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000038a ValueName => DefaultAppliesTo |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000392 KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000392 ValueName => CommandFlags |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000392 KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000392 ValueName => SubCommands |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000392 KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000392 ValueName => ExtendedSubCommandsKey |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000392 KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000392 ValueName => HasLUAShield |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000038a KeyInformation => t\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00r\x00u\x00n\x00a\x00s\x00u\x00s\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\runasuser |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000038a ValueName => Extended Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000372 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000372 ValueName => NeverDefault |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000031a KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000394 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000031a KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000031a ValueName => NoRecentDocs |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000398 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000039a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x001\x00B\x002\x002\x004\x006\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x00C\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000039a ValueName => flags |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000396 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x00000396 ValueName => NoStaticDefaultVerb |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000396 KeyInformation => |\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00S\x00y\x00s\x00t\x00e\x00m\x00F\x00i\x00l\x00e\x00A\x00s\x00s\x00o\x00c\x00i\x00a\x00t\x00i\x00o\x00n\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\SystemFileAssociations\.exe\Shell |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Shell |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2736 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2736 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2736 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2736 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2736 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2736 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2736 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2736 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,775 | 2356 | LdrGetProcedureAddress |
Ordinal => 388 FunctionName => FunctionAddress => 0x7406688d ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000322 KeyInformation => H\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\* |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000394 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000322 KeyInformation => H\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\* |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000322 ValueName => NoRecentDocs Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a0 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x001\x00B\x002\x002\x004\x006\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x00C\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003a2 ValueName => flags |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000396 KeyInformation => H\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00*\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\* |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000396 ValueName => NoStaticDefaultVerb Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000032a KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000394 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000032a KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000032a ValueName => NoRecentDocs Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a0 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x002\x001\x00B\x002\x002\x004\x006\x000\x00-\x003\x00A\x00E\x00A\x00-\x001\x000\x006\x009\x00-\x00A\x002\x00D\x00C\x00-\x000\x008\x000\x000\x002\x00B\x003\x000\x003\x000\x009\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{21B22460-3AEA-1069-A2DC-08002B30309D} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003a2 ValueName => flags |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000396 KeyInformation => n\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00A\x00l\x00l\x00F\x00i\x00l\x00e\x00s\x00y\x00s\x00t\x00e\x00m\x00O\x00b\x00j\x00e\x00c\x00t\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\AllFilesystemObjects |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000396 ValueName => NoStaticDefaultVerb Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | LdrGetProcedureAddress |
Ordinal => 321 FunctionName => FunctionAddress => 0x74066729 ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000376 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000394 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000396 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003a0 ObjectAttributes => shell\open |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003a4 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003a8 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000037a KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x0000037a ValueName => ImpliedSelectionModel |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => command |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => z\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\\x00c\x00o\x00m\x00m\x00a\x00n\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003a6 ValueName => DelegateExecute |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => DropTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoAllowSetForegroundWindow FunctionAddress => 0x76fd7228 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Associations |
FAILURE | 0xc0000034 | 7 times |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .ade |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\.ade |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .adp |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\.adp |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .app |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\.app |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .asp |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.asp |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00a\x00s\x00p\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.asp |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => a\x00s\x00p\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .bas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.bas |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00b\x00a\x00s\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.bas |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003a6 ValueName => |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .bat |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.bat |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00b\x00a\x00t\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.bat |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => b\x00a\x00t\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .cer |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.cer |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00c\x00e\x00r\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.cer |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => C\x00E\x00R\x00F\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .chm |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.chm |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00c\x00h\x00m\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.chm |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => c\x00h\x00m\x00.\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .cmd |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.cmd |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00c\x00m\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.cmd |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => c\x00m\x00d\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .com |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.com |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00c\x00o\x00m\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.com |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => c\x00o\x00m\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .cpl |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.cpl |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00c\x00p\x00l\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.cpl |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => c\x00p\x00l\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .crt |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\.crt |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00c\x00r\x00t\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.crt |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => C\x00E\x00R\x00F\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .csh |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\.csh |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoCreateInstance FunctionAddress => 0x770157fc ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000276 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => S\x00e\x00c\x00u\x00r\x00i\x00t\x00y\x00 \x00M\x00a\x00n\x00a\x00g\x00e\x00r\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => S\x00e\x00c\x00u\x00r\x00i\x00t\x00y\x00 \x00M\x00a\x00n\x00a\x00g\x00e\x00r\x00\x00\x00 KeyHandle => 0x000003a6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003ac ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003ae ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00u\x00r\x00l\x00m\x00o\x00n\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000003ae ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00u\x00r\x00l\x00m\x00o\x00n\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000003ae ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x000003ae ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000003ac ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003ae KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003a4 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a6 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00b\x008\x00a\x002\x00d\x009\x004\x00-\x000\x00a\x00c\x009\x00-\x001\x001\x00d\x001\x00-\x008\x009\x006\x00c\x00-\x000\x000\x00c\x000\x004\x00F\x00b\x006\x00b\x00f\x00c\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7b8a2d94-0ac9-11d1-896c-00c04Fb6bfc4}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | LdrLoadDll |
Flags => 87087620 BaseAddress => 0x76410000 FileName => C:\Windows\system32\urlmon.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllGetClassObject FunctionAddress => 0x76415544 ModuleHandle => 0x76410000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllCanUnloadNow FunctionAddress => 0x76413094 ModuleHandle => 0x76410000 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | RegOpenKeyExW |
Handle => 0x000003a4 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003a4 ValueName => Security_HKLM_only |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | RegCloseKey |
Handle => 0x000003a4 |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003a4 ObjectAttributes => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003a4 ValueName => Security_HKLM_only |
FAILURE | 0xc0000034 | |
| 23:22:04,775 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Internet Explorer\Main\FeatureControl |
FAILURE | 0x00000002 | |
| 23:22:04,775 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Internet Explorer\Main\FeatureControl |
FAILURE | 0x00000002 | |
| 23:22:04,775 | 2356 | RegOpenKeyExW |
Handle => 0x000003a4 Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl |
SUCCESS | 0x00000000 | |
| 23:22:04,775 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl |
FAILURE | 0x00000002 | |
| 23:22:04,775 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000003a4 SubKey => FEATURE_IGNORE_POLICIES_ZONEMAP_IF_ESC_ENABLED_KB918915 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | 1 time |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003a4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitializeSRWLock FunctionAddress => 0x77249b8e ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AcquireSRWLockExclusive FunctionAddress => 0x772455fc ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AcquireSRWLockShared FunctionAddress => 0x77245560 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ReleaseSRWLockExclusive FunctionAddress => 0x772455d2 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ReleaseSRWLockShared FunctionAddress => 0x772455a9 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_UNC_SAVEDFILECHECK |
FAILURE | 0x00000002 | 1 time |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003a4 Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_UNC_SAVEDFILECHECK |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003a4 DataLength => 4 ValueName => 555.exe Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003a4 DataLength => 4 ValueName => * Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | NtCreateMutant |
Handle => 0x000003ac InitialOwner => 0 MutexName => Local\ZonesCounterMutex |
SUCCESS | 0x40000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003b0 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003b4 Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000003b4 SubKey => FEATURE_ZONES_CHECK_ZONEMAP_POLICY_KB941001 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | 1 time |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003b4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003b4 Registry => 0x80000002 SubKey => Software\Policies |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003b8 Registry => 0x80000001 SubKey => Software\Policies |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003bc Registry => 0x80000001 SubKey => Software |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c0 Registry => 0x80000002 SubKey => Software |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c4 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 0 ValueCount => 0 MaxSubKeyLength => 0 KeyHandle => 0x000003c4 SubKeyCount => 1 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003c4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c4 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 0 ValueCount => 0 MaxSubKeyLength => 0 KeyHandle => 0x000003c4 SubKeyCount => 2 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003c4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c4 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c8 Registry => 0x000003c4 SubKey => Ranges\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 0 ValueCount => 0 MaxSubKeyLength => 0 KeyHandle => 0x000003c8 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003c8 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c8 Registry => 0x000003c4 SubKey => ProtocolDefaults\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 0 ValueCount => 7 MaxSubKeyLength => 0 KeyHandle => 0x000003c8 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegEnumValueW |
Index => 0 Handle => 0x000003c8 Data => \x00\x00 ValueName => |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegEnumValueW |
Index => 1 Handle => 0x000003c8 Data => 3 ValueName => http |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegEnumValueW |
Index => 2 Handle => 0x000003c8 Data => 3 ValueName => https |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegEnumValueW |
Index => 3 Handle => 0x000003c8 Data => 3 ValueName => ftp |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegEnumValueW |
Index => 4 Handle => 0x000003c8 Data => 3 ValueName => file |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegEnumValueW |
Index => 5 Handle => 0x000003c8 Data => 1 ValueName => @ivt |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegEnumValueW |
Index => 6 Handle => 0x000003c8 Data => 0 ValueName => shell |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003c8 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c8 Registry => 0x000003c4 SubKey => Domains\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 0 ValueCount => 1 MaxSubKeyLength => 0 KeyHandle => 0x000003c8 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003c8 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c8 Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000003c8 SubKey => FEATURE_INITIALIZE_URLACTION_SHELLEXECUTE_TO_ALLOW_KB936610 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | 1 time |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003c8 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003c8 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003c8 DataLength => 4 ValueName => CreateUriCacheSize Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003cc Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003cc DataLength => 4 ValueName => CreateUriCacheSize Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003d0 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003d0 DataLength => 4 ValueName => CreateUriCacheSize Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003d4 Registry => 0x80000002 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003d4 DataLength => 4 ValueName => CreateUriCacheSize Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitializeSRWLock FunctionAddress => 0x77249b8e ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AcquireSRWLockExclusive FunctionAddress => 0x772455fc ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AcquireSRWLockShared FunctionAddress => 0x77245560 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ReleaseSRWLockExclusive FunctionAddress => 0x772455d2 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ReleaseSRWLockShared FunctionAddress => 0x772455a9 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003c8 DataLength => 4 ValueName => EnablePunycode Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003cc DataLength => 4 ValueName => EnablePunycode Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003d0 DataLength => 4 ValueName => EnablePunycode Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003d4 Data => 1 ValueName => EnablePunycode |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE |
FAILURE | 0x00000002 | 1 time |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003d8 Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003d8 DataLength => 4 ValueName => 555.exe Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003d8 DataLength => 4 ValueName => * Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003dc Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000003dc SubKey => FEATURE_ALLOW_REVERSE_SOLIDUS_IN_USERINFO_KB932562 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | 1 time |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003dc |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Internet Explorer |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Internet Explorer |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003dc Registry => 0x000003bc SubKey => Microsoft\Internet Explorer\Security |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003dc DataLength => 4 ValueName => DisableSecuritySettingsCheck Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003dc |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003dc Registry => 0x000003c0 SubKey => Microsoft\Internet Explorer\Security |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003dc DataLength => 4 ValueName => DisableSecuritySettingsCheck Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003dc |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtOpenFile |
ShareAccess => 3 FileName => IDE#CdRomVBOX_CD-ROM_____________________________1.0_____#5&106af171&0&1.0.0#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} DesiredAccess => 0x00100080 FileHandle => 0x000003e4 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x000003e4 OutputBuffer => \x1c\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00C\x00d\x00R\x00o\x00m\x000\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x000\xc4)\x00\x00\x00\x00\x00\x98\xf3\x83\x05\x01\x00\x00\x00\x04\xf6\x83\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x8e\xc5(\x00\x16\xbc$w\x84\xc3(\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x14\x02\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\xf0\xf3\x83\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x8e\xc5(\x00\x1e\x00\x00\x00XCLg\xe4\x03\x00\x00\x1c\x00\x1e\x00pv)\x00\x1c\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00C\x00d\x00R\x00o\x00m\x000\x00\x00\x00(0 \x00(\xf4\x83\x05\x12QBg AKgH\xf4\x83\x05(A\xf3v\x00\x00\xf3v\x02\x00\x00\x00\x00\x00\x00\x008\xf5\x83\x058\xf5\x83\x05\x00\x00\x00\x00\xa8\xf4\x83\x05u\x18\x99v\x00\x00\x99v\x02\x00\x00\x00\xac\x18\x99v\x112\x03\xe58\xf5\x83\x05\xbc\xf4\x83\x05\x01\x00\x00\x00\x01\x00\x00\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2736 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x000003e4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x1c\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00C\x00d\x00R\x00o\x00m\x000\x00 FileHandle => 0x000003e4 OutputBuffer => \xbe\x01\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00\x1c\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00C\x00d\x00R\x00o\x00m\x000\x00 FileHandle => 0x000003e4 OutputBuffer => \xbe\x01\x00\x00\x02\x00\x00\x00B\x01\x00\x00`\x00\x00\x008\x00\x00\x00\xee\x00\x00\x00&\x01\x00\x00\x1c\x00v\x00\xa2\x01\x00\x00\x1c\x00\\x008\x00\x00\x00\xee\x00o\x00&\x01\x00\x00\x1c\x00\x00\x00\\x00?\x00?\x00\\x00I\x00D\x00E\x00#\x00C\x00d\x00R\x00o\x00m\x00V\x00B\x00O\x00X\x00_\x00C\x00D\x00-\x00R\x00O\x00M\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x00_\x001\x00.\x000\x00_\x00_\x00_\x00_\x00_\x00#\x005\x00&\x001\x000\x006\x00a\x00f\x001\x007\x001\x00&\x000\x00&\x001\x00.\x000\x00.\x000\x00#\x00{\x005\x003\x00f\x005\x006\x003\x000\x00d\x00-\x00b\x006\x00b\x00f\x00-\x001\x001\x00d\x000\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtCreateSection |
ObjectAttributes => C:\Local\UrlZonesSM_Administrator DesiredAccess => 0x000f0007 SectionHandle => 0x000003e4 FileHandle => 0x00000000 |
SUCCESS | 0x40000000 | |
| 23:22:04,785 | 2356 | ZwMapViewOfSection |
SectionOffset => 0x0530e6bc SectionHandle => 0x000003e4 ProcessHandle => 0xffffffff BaseAddress => 0x00ca0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000036c ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000368 ObjectAttributes => {7eea3db8-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
KeyHandle => 0x00000368 ValueName => Data |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
Information => KeyHandle => 0x00000368 ValueName => Data Type => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000368 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000036c ObjectAttributes => {7eea3db8-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
Information => 1 KeyHandle => 0x0000036c ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtOpenFile |
ShareAccess => 3 FileName => STORAGE#Volume#{7eea3db1-1e8b-11e4-9951-806e6f6e6963}#0000000000100000#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} DesiredAccess => 0x00100080 FileHandle => 0x000003ec |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x000003ec OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x001\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00\x18\xc5(\x00\x00\x00\x00\x00\x98\xf3\x83\x05\x01\x00\x00\x00\x04\xf6\x83\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xffN\xc6)\x00\x16\xbc$wD\xc4)\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x00\x00\x00\x14\x02\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\xf0\xf3\x83\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00N\xc6)\x000\x00\x00\x00\x00\x00\x00\x00\xec\x03\x00\x00.\x000\x00`p)\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x001\x00H\xf4\x83\x05(A\xf3v\x00\x00\xf3v\x02\x00\x00\x00\x00\x00\x00\x008\xf5\x83\x058\xf5\x83\x05\x00\x00\x00\x00\xa8\xf4\x83\x05u\x18\x99v\x00\x00\x99v\x02\x00\x00\x00\xac\x18\x99v\x112\x03\xe58\xf5\x83\x05\xbc\xf4\x83\x05\x01\x00\x00\x00\x01\x00\x00\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2736 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x000003ec |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x001\x00 FileHandle => 0x000003ec OutputBuffer => \xba\x00\x00\x00\x01\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x001\x00 FileHandle => 0x000003ec OutputBuffer => \xba\x00\x00\x00\x01\x00\x00\x00Z\x00\x00\x00`\x00\x00\x00 \x00\x00\x00\x0c\x00\x00\x00,\x00\x00\x00.\x00v\x00\x8f\xd7\x007\x00\x00\x10\x00\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x001\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x004\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000368 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000036c ObjectAttributes => {7eea3db4-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
KeyHandle => 0x0000036c ValueName => Data |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
Information => KeyHandle => 0x0000036c ValueName => Data Type => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000036c ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000368 ObjectAttributes => {7eea3db4-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000368 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtOpenFile |
ShareAccess => 3 FileName => STORAGE#Volume#{7eea3db1-1e8b-11e4-9951-806e6f6e6963}#0000000006500000#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b} DesiredAccess => 0x00100080 FileHandle => 0x000003ec |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x000003ec OutputBuffer => .\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => G\x97\x01\x00\x00\x00\x00\x00`\xc8)\x00\x00\x00\x00\x00\x98\xf3\x83\x05\x01\x00\x00\x00\x04\xf6\x83\x05\xda\x1f~v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xffN\xc6)\x00\x16\xbc$wD\xc4)\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x00\x00\x00\x14\x02\x00\x00\x18\x00\x00\x00\x00\x00\x00\x00\xf0\xf3\x83\x05@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00N\xc6)\x000\x00\x00\x00\x00\x00\x00\x00\xec\x03\x00\x00.\x000\x00`p)\x00.\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00H\xf4\x83\x05(A\xf3v\x00\x00\xf3v\x02\x00\x00\x00\x00\x00\x00\x008\xf5\x83\x058\xf5\x83\x05\x00\x00\x00\x00\xa8\xf4\x83\x05u\x18\x99v\x00\x00\x99v\x02\x00\x00\x00\xac\x18\x99v\x112\x03\xe58\xf5\x83\x05\xbc\xf4\x83\x05\x01\x00\x00\x00\x01\x00\x00\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2736 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x000003ec |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x000003ec OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2736 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x18\x00\x00\x00.\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00 FileHandle => 0x000003ec OutputBuffer => \xee\x00\x00\x00\x02\x00\x00\x00r\x00\x00\x00\x1c\x00\x00\x008\x00\x00\x00\x0c\x00\x00\x00D\x00\x00\x00.\x00v\x00\x8e\x00\x00\x00`\x00\\x008\x00\x00\x00\x0c\x00d\x00D\x00\x00\x00.\x00k\x00\x8f\xd7\x007\x00\x00P\x06\x00\x00\x00\x00\\x00D\x00e\x00v\x00i\x00c\x00e\x00\\x00H\x00a\x00r\x00d\x00d\x00i\x00s\x00k\x00V\x00o\x00l\x00u\x00m\x00e\x002\x00\\x00D\x00o\x00s\x00D\x00e\x00v\x00i\x00c\x00e\x00s\x00\\x00C\x00:\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000036c ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000368 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
KeyHandle => 0x00000368 ValueName => Data |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
Information => KeyHandle => 0x00000368 ValueName => Data Type => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000368 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000036c ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryValueKey |
Information => 1 KeyHandle => 0x0000036c ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => \x08\x00\x00\x00\x00\x00\x00\x000\xc4)\x00\x00\x00\x00\x00|\xfah\x05\x01\x00\x00\x00\xb4\xfah\x05\x89\x95|v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\xd0\xe9&\x00\xfc\x93|v\x00\x00\x00\x00b\x00d\x00pv"\x00\xbc\xfah\x0591tu\x00\xaa(\x00\xf8\xfah\x05&\x06oupv"\x00\x00\x00\x00\x00\x00\x00\x00\x00\xec\xfah\x05\x00\x00\x00\x00\xf0\xa0\xa6u\x00\x00\x00\x00\x0e\x00\x07\x80\x04\x00\x00\x00\x00\x00\x00\x00\xf0\xa0\xa6u\xb8\xc6(\x00\xa8\xc0(\x00\x00\xaa(\x00\xa7xt\xe6\x18\xfbh\x051\x03ou\xf0\xa0\xa6u\xc0\x9f&\x00\x00\x00\x00\x00\xcf\xb6tv\x00\x00\x00\x00\x00\xb1'\x00\x8c\xfbh\x05\xe9\xb5!w\xc0\x9f&\x00sdMr\xd8\xe2#\x00\x02\x00\x00\x00\x00\x00\x00\x00$\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\xba\xb5!w\x00\x00\x00\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2396 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00C\x00:\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2396 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00C\x00:\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => \x01\x00\x00\x00\x00\x00\x00\x000\xc4)\x00\x00\x00\x00\x00\x98\x8d)\x00\x01\x00\x00\x00\xb4\xfah\x05\x89\x95|v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xffp\xc3(\x00\xfc\x93|v\x00\x00\x00\x00b\x00d\x00\xb0{"\x00\x8c\xfah\x05\x90\x8d)\x00|\xfbh\x05\xf8\xfah\x05&\x06ou\xb0{"\x00\x00\x00\x00\x00\x00\x00\x00\x00\xec\xfah\x05\x00\x00\x00\x00\xf0\xa0\xa6u\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\xf0\xa0\xa6u\x90\x8d)\x00\x05\x00\x00\x00\x00\xaa(\x00\xa7xt\xe6\x18\xfbh\x051\x03ou\xf0\xa0\xa6u\xc0\x9f&\x00\x00\x00\x00\x00\xcf\xb6tv\x00\x00\x00\x00\x00\xb1'\x00\x8c\xfbh\x05\xe9\xb5!w\xc0\x9f&\x00sdMr\xd8\xe2#\x00\x02\x00\x00\x00\x00\x00\x00\x00$\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\xba\xb5!w\x00\x00\x00\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2396 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x008\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x008\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00D\x00:\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2396 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x008\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x008\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00D\x00:\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => \x01\x00\x00\x00\x00\x00\x00\x00@\xc6)\x00\x00\x00\x00\x00\x98\x8d)\x00\x01\x00\x00\x00\xb4\xfah\x05\x89\x95|v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\x18\xc5(\x00\xfc\x93|v\x00\x00\x00\x00b\x00d\x00 |"\x00\x8c\xfah\x05\x90\x8d)\x00|\xfbh\x05\xf8\xfah\x05&\x06ou |"\x00\x00\x00\x00\x00\x00\x00\x00\x00\xec\xfah\x05\x00\x00\x00\x00\xf0\xa0\xa6u\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x02\x00\x00\x00\xf0\xa0\xa6u\x90\x8d)\x00\x05\x00\x00\x00\x00\xaa(\x00\xa7xt\xe6\x18\xfbh\x051\x03ou\xf0\xa0\xa6u\xc0\x9f&\x00\x00\x00\x00\x00\xcf\xb6tv\x00\x00\x00\x00\x00\xb1'\x00\x8c\xfbh\x05\xe9\xb5!w\xc0\x9f&\x00sdMr\xd8\xe2#\x00\x02\x00\x00\x00\x00\x00\x00\x00$\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\xba\xb5!w\x00\x00\x00\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2396 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x004\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x02\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2396 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x004\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x02\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => \x01\x00\x00\x00\x00\x00\x00\x00@\xc6)\x00\x00\x00\x00\x00\x90F&\x00\x01\x00\x00\x00\xb4\xfah\x05\x89\x95|v\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00\x80\x00\x00\x00\xff\xff\xff\xff\xb8\xc6(\x00\xfc\x93|v\x00\x00\x00\x00b\x00d\x00\x90|"\x00\x8c\xfah\x05\x00\x00\x00\x00|\xfbh\x05\xf8\xfah\x05&\x06ou\x90|"\x00\x00\x00\x00\x00\x00\x00\x00\x00\xec\xfah\x05\x00\x00\x00\x00\xf0\xa0\xa6u\x00\x00\x00\x00\x00\x00\x00\x00\x04\x00\x00\x00\x03\x00\x00\x00\xf0\xa0\xa6u\x90F&\x00\x01\x00\x00\x00\x00\xaa(\x00\xa7xt\xe6\x18\xfbh\x051\x03ou\xf0\xa0\xa6u\xc0\x9f&\x00\x00\x00\x00\x00\xcf\xb6tv\x00\x00\x00\x00\x00\xb1'\x00\x8c\xfbh\x05\xe9\xb5!w\xc0\x9f&\x00sdMr\xd8\xe2#\x00\x02\x00\x00\x00\x00\x00\x00\x00$\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x000\x00\x00\x00\xff\xff\xff\xff\xff\xff\xff\xff\xba\xb5!w\x00\x00\x00\x00 |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2396 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00C\x00:\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtQueryInformationFile |
FileHandle => 0xffffffff FileInformation => |
FAILURE | 0xc0000024 | |
| 23:22:04,785 | 2396 | NtCreateFile |
ShareAccess => 3 FileName => MountPointManager DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00 |
FAILURE | 0x80000005 | |
| 23:22:04,785 | 2396 | NtDeviceIoControlFile |
InputBuffer => `\x00\\x00?\x00?\x00\\x00V\x00o\x00l\x00u\x00m\x00e\x00{\x007\x00e\x00e\x00a\x003\x00d\x00b\x005\x00-\x001\x00e\x008\x00b\x00-\x001\x001\x00e\x004\x00-\x009\x009\x005\x001\x00-\x008\x000\x006\x00e\x006\x00f\x006\x00e\x006\x009\x006\x003\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x0000036c OutputBuffer => \x08\x00\x00\x00C\x00:\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtCreateMutant |
Handle => 0x000003e8 InitialOwner => 0 MutexName => Local\ZoneAttributeCacheCounterMutex |
SUCCESS | 0x40000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x0000036c Registry => 0x80000002 SubKey => System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x0000036c Data => 0 ValueName => SystemSetupInProgress |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x0000036c Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000368 Registry => 0x0000036c SubKey => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000368 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000368 Registry => 0x0000036c SubKey => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000368 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000368 Registry => 0x0000036c SubKey => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000368 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000368 Registry => 0x0000036c SubKey => 3 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000368 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000368 Registry => 0x0000036c SubKey => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000368 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x0000036c Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 0 KeyHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtCreateMutant |
Handle => 0x00000368 InitialOwner => 0 MutexName => Local\ZonesCacheCounterMutex |
SUCCESS | 0x40000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003ec Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f0 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 33 KeyHandle => 0x000003f0 ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003ec |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 1 KeyHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003ec Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f0 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 323 KeyHandle => 0x000003f0 ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f4 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegDeleteValueW |
Handle => 0x000003f4 ValueName => ProxyBypass |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f8 Registry => 0x80000002 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegDeleteValueW |
Handle => 0x000003f8 ValueName => ProxyBypass |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegDeleteValueW |
Handle => 0x000003f4 ValueName => IntranetName |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegDeleteValueW |
Handle => 0x000003f8 ValueName => IntranetName |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegSetValueExW |
Handle => 0x000003f4 Buffer => 0 ValueName => UNCAsIntranet Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegSetValueExW |
Handle => 0x000003f4 Buffer => 1 ValueName => AutoDetect Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f8 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003ec |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 2 KeyHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003ec Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f0 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 71 KeyHandle => 0x000003f0 ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003ec |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 3 KeyHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003ec Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f0 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000003f0 ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003ec |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 4 KeyHandle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003ec Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f0 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000003f0 ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003ec |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 5 KeyHandle => 0x0000036c |
FAILURE | 0x8000001a | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x0000036c |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN |
FAILURE | 0x00000002 | 1 time |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x0000036c Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x0000036c DataLength => 4 ValueName => 555.exe Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x0000036c DataLength => 4 ValueName => * Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | NtCreateMutant |
Handle => 0x000003ec InitialOwner => 0 MutexName => Local\ZoneAttributeCacheCounterMutex |
SUCCESS | 0x40000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\ |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f0 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 0 KeyHandle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtCreateMutant |
Handle => 0x000003f8 InitialOwner => 0 MutexName => Local\ZonesLockedCacheCounterMutex |
SUCCESS | 0x40000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f4 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003fc Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 33 KeyHandle => 0x000003fc ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003fc |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 1 KeyHandle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f4 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\1 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003fc Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 323 KeyHandle => 0x000003fc ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000400 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegDeleteValueW |
Handle => 0x00000400 ValueName => ProxyBypass |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000404 Registry => 0x80000002 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegDeleteValueW |
Handle => 0x00000404 ValueName => ProxyBypass |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegDeleteValueW |
Handle => 0x00000400 ValueName => IntranetName |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegDeleteValueW |
Handle => 0x00000404 ValueName => IntranetName |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegSetValueExW |
Handle => 0x00000400 Buffer => 0 ValueName => UNCAsIntranet Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegSetValueExW |
Handle => 0x00000400 Buffer => 1 ValueName => AutoDetect Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000400 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000404 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003fc |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 2 KeyHandle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f4 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\2 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003fc Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 71 KeyHandle => 0x000003fc ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003fc |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 3 KeyHandle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f4 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\3 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003fc Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000003fc ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003fc |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 4 KeyHandle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f4 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones\4 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003fc Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => 3 KeyHandle => 0x000003fc ValueName => Flags Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003fc |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f4 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtEnumerateKey |
Index => 5 KeyHandle => 0x000003f0 |
FAILURE | 0x8000001a | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x000003f0 Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000003f0 SubKey => FEATURE_ZONES_DEFAULT_DRIVE_INTRANET_KB941000 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | 1 time |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | RegCloseKey |
Handle => 0x00000000 |
FAILURE | 0x00000006 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003c8 DataLength => 4 ValueName => SpecialFoldersCacheSize Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003cc DataLength => 4 ValueName => SpecialFoldersCacheSize Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003d0 DataLength => 4 ValueName => SpecialFoldersCacheSize Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | RegQueryValueExW |
Handle => 0x000003d4 DataLength => 4 ValueName => SpecialFoldersCacheSize Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,785 | 2356 | LdrLoadDll |
Flags => 87088160 BaseAddress => 0x756a0000 FileName => SHELL32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SHGetFolderPathW FunctionAddress => 0x7571ca26 ModuleHandle => 0x756a0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003f0 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,785 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000003f0 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003f4 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003f4 ValueName => Cache |
FAILURE | 0x80000005 | 1 time |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00L\x00o\x00c\x00a\x00l\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00T\x00e\x00m\x00p\x00o\x00r\x00a\x00r\x00y\x00 \x00I\x00n\x00t\x00e\x00r\x00n\x00e\x00t\x00 \x00F\x00i\x00l\x00e\x00s\x00\x00\x00 KeyHandle => 0x000003f4 ValueName => Cache Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003f4 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:04,785 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000003f4 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003f0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00R\x00o\x00a\x00m\x00i\x00n\x00g\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00C\x00o\x00o\x00k\x00i\x00e\x00s\x00\x00\x00 KeyHandle => 0x000003f0 ValueName => Cookies Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:04,785 | 2356 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021aa10 | |
| 23:22:04,785 | 2356 | FindFirstFileExW |
FileName => C:\Users\Administrator\AppData |
SUCCESS | 0x0021aa10 | |
| 23:22:04,785 | 2356 | FindFirstFileExW |
FileName => C:\Users\Administrator\AppData\Roaming |
SUCCESS | 0x0021aa10 | |
| 23:22:04,785 | 2356 | FindFirstFileExW |
FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe |
SUCCESS | 0x0021aa10 | |
| 23:22:04,795 | 2356 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x000003f0 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN |
FAILURE | 0x00000002 | 1 time |
| 23:22:04,795 | 2356 | RegOpenKeyExW |
Handle => 0x000003f0 Registry => 0x80000002 SubKey => Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_PROTOCOL_LOCKDOWN |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegQueryValueExW |
Handle => 0x000003f0 DataLength => 4 ValueName => 555.exe Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,795 | 2356 | RegQueryValueExW |
Handle => 0x000003f0 DataLength => 4 ValueName => * Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,795 | 2356 | RegOpenKeyExW |
Handle => 0x000003f4 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003f4 ValueName => 1806 |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | RegOpenKeyExW |
Handle => 0x000003fc Registry => 0x80000002 SubKey => Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
Information => 0 KeyHandle => 0x000003fc ValueName => 1806 Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegCloseKey |
Handle => 0x000003f4 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegCloseKey |
Handle => 0x000003fc |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegCloseKey |
Handle => 0x000003c4 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegCloseKey |
Handle => 0x000003b0 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SaferGetPolicyInformation FunctionAddress => 0x765597ad ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000003b0 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003b0 ValueName => TransparentEnabled |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003b0 ObjectAttributes => command |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003b2 KeyInformation => z\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\\x00c\x00o\x00m\x00m\x00a\x00n\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003b2 ValueName => command |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003b0 ObjectAttributes => command |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003b2 KeyInformation => z\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\\x00c\x00o\x00m\x00m\x00a\x00n\x00d\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\command |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
Information => "\x00%\x001\x00"\x00 \x00%\x00*\x00\x00\x00 KeyHandle => 0x000003b2 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003b0 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003b2 KeyInformation => N\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00.\x00e\x00x\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\.exe |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
Information => e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00 KeyHandle => 0x000003b2 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => .exe\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\.exe\OpenWithProgids |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003b0 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 7 ValueCount => 0 MaxSubKeyLength => 0 KeyHandle => 0x000003b0 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegEnumValueW |
Index => 0 Handle => 0x000003b0 DataLength => 0 ValueName => exefile Type => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | RegEnumValueW |
Index => 1 Handle => 0x000003b0 DataLength => 0 ValueName => exefile Type => 87087592 |
FAILURE | 0x00000103 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => .exe |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003b0 ObjectAttributes => \Registry\Machine\Software\Classes\.exe |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003c4 ObjectAttributes => .exe |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003fc ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => UserChoice |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000027a KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003fc ObjectAttributes => \Registry\Machine\Software\Classes\exefile |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003fe KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => CurVer |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003fe KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003c4 ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003c6 KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003fc ObjectAttributes => |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003fe KeyInformation => T\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\ShellCompatibility\ProgIDs\exefile |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003fc ValueName => InheritConsoleHandles |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003fc ValueName => InheritConsoleHandles |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open\ddeexec |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => ddeexec |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003fc ValueName => RestrictRun |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003fc ValueName => RestrictRun |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003fc ValueName => DisallowRun |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000003fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003fc ValueName => DisallowRun |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\App Paths\svchost.exe |
FAILURE | 0xc0000034 | 1 time |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003a2 ValueName => SetWorkingDirectoryFromTarget |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000003a2 KeyInformation => j\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00e\x00x\x00e\x00f\x00i\x00l\x00e\x00\\x00s\x00h\x00e\x00l\x00l\x00\\x00o\x00p\x00e\x00n\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\exefile\shell\open |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
KeyHandle => 0x000003a2 ValueName => NoWorkingDirectory |
FAILURE | 0xc0000034 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003fc ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003b0 ObjectAttributes => {7eea3db5-1e8b-11e4-9951-806e6f6e6963}\ |
SUCCESS | 0x00000000 | |
| 23:22:04,795 | 2356 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000003b0 ValueName => Generation Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:04,825 | 2356 | CreateProcessInternalW |
ApplicationName => C:\Users\Administrator\AppData\Roaming\svchost.exe ProcessId => 2776 CommandLine => "C:\Users\Administrator\AppData\Roaming\svchost.exe" ThreadHandle => 0x000003b0 ProcessHandle => 0x000003fc ThreadId => 2772 CreationFlags => 0x04080410 |
SUCCESS | 0x00000001 | |
| 23:22:04,825 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x771f0000 FileName => ntdll.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,825 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RtlDllShutdownInProgress FunctionAddress => 0x7724bbd1 ModuleHandle => 0x771f0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,825 | 2356 | LdrGetProcedureAddress |
Ordinal => 329 FunctionName => FunctionAddress => 0x74066618 ModuleHandle => 0x74030000 |
SUCCESS | 0x00000000 | |
| 23:22:04,835 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoUninitialize FunctionAddress => 0x770070c7 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,835 | 2356 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoRevokeInitializeSpy FunctionAddress => 0x770081ba ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,835 | 2356 | LdrGetDllHandle |
ModuleHandle => 0x76f30000 FileName => oleaut32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,835 | 2356 | LdrGetProcedureAddress |
Ordinal => 500 FunctionName => FunctionAddress => 0x76f33f0b ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:04,835 | 2356 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:04,845 | 2608 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LocalFree FunctionAddress => 0x767e057c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,845 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,845 | 2680 | RegCloseKey |
Handle => 0x80000004 |
SUCCESS | 0x00000000 | |
| 23:22:04,845 | 2680 | NtDelayExecution |
Milliseconds => 1566804069 |
SUCCESS | 0x00000000 | |
| 23:22:04,845 | 2608 | LdrGetDllHandle |
ModuleHandle => 0x76f30000 FileName => oleaut32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,845 | 2608 | ExitProcess |
ExitCode => 4294967295 |
SUCCESS | 0x00000000 |
| Timestamp | Thread | Function | Arguments | Status | Return | Repeated |
|---|---|---|---|---|---|---|
| 23:22:04,855 | 2772 | NtOpenDirectoryObject |
DirectoryHandle => 0x00000070 DesiredAccess => 15 ObjectAttributes => C:\Sessions\1\BaseNamedObjects |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | LdrLoadDll |
Flags => 1636268 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyExW FunctionAddress => 0x7656bec4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegOpenKeyExW |
Handle => 0x00000074 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework\Policy\ |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryInfoKeyW FunctionAddress => 0x7656bb42 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 0 MaxValueNameLength => 0 ValueCount => 0 MaxSubKeyLength => 9 KeyHandle => 0x00000074 SubKeyCount => 5 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegEnumKeyExW FunctionAddress => 0x7656bb65 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegEnumKeyExW |
Index => 4 Handle => 0x00000074 Name => v4.0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegEnumKeyExW |
Index => 3 Handle => 0x00000074 Name => v2.0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegEnumKeyExW |
Index => 2 Handle => 0x00000074 Name => Upgrades Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegEnumKeyExW |
Index => 1 Handle => 0x00000074 Name => Standards Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegEnumKeyExW |
Index => 0 Handle => 0x00000074 Name => AppPatch Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x00000074 SubKey => v4.0 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegQueryInfoKeyW |
MaxClassLength => 0 MaxValueLength => 24 MaxValueNameLength => 5 ValueCount => 1 MaxSubKeyLength => 0 KeyHandle => 0x00000078 SubKeyCount => 0 Class => |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegEnumValueW FunctionAddress => 0x7656bb72 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegEnumValueW |
Index => 0 Handle => 0x00000078 Data => 3\x000\x003\x001\x009\x00-\x003\x000\x003\x001\x009\x00\x00\x00 ValueName => 30319 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegCloseKey FunctionAddress => 0x7656bed4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueExW FunctionAddress => 0x7656bcd5 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegQueryValueExW |
Handle => 0x00000078 DataLength => 72 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueExW FunctionAddress => 0x7656bcd5 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegQueryValueExW |
Handle => 0x00000078 Data => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00N\x00E\x00T\x00\\x00F\x00r\x00a\x00m\x00e\x00w\x00o\x00r\x00k\x00\\x00\x00\x00 ValueName => InstallRoot |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,855 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll |
SUCCESS | 0x0021a988 | |
| 23:22:04,855 | 2772 | RegCloseKey |
Handle => 0x00000074 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegOpenKeyExW |
Handle => 0x00000074 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegQueryValueExW |
Handle => 0x00000074 DataLength => 72 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegQueryValueExW |
Handle => 0x00000074 Data => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00N\x00E\x00T\x00\\x00F\x00r\x00a\x00m\x00e\x00w\x00o\x00r\x00k\x00\\x00\x00\x00 ValueName => InstallRoot |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegCloseKey |
Handle => 0x00000074 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll |
SUCCESS | 0x0021a988 | |
| 23:22:04,865 | 2772 | RegOpenKeyExW |
Handle => 0x00000074 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegQueryValueExW |
Handle => 0x00000074 DataLength => 72 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegQueryValueExW |
Handle => 0x00000074 Data => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00N\x00E\x00T\x00\\x00F\x00r\x00a\x00m\x00e\x00w\x00o\x00r\x00k\x00\\x00\x00\x00 ValueName => InstallRoot |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegCloseKey |
Handle => 0x00000074 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | LdrLoadDll |
Flags => 1636024 BaseAddress => 0x674c0000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoreei.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegisterShimImplCallback FunctionAddress => 0x674c6975 ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegisterShimImplCleanupCallback FunctionAddress => 0x67627eb0 ModuleHandle => 0x674c0000 |
FAILURE | 0xc0000139 | |
| 23:22:04,865 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetShellShimInstance FunctionAddress => 0x6762c90c ModuleHandle => 0x674c0000 |
FAILURE | 0xc0000139 | |
| 23:22:04,865 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OnShimDllMainCalled FunctionAddress => 0x674c43ef ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => _CorExeMain_RetAddr FunctionAddress => 0x6762c964 ModuleHandle => 0x674c0000 |
FAILURE | 0xc0000139 | |
| 23:22:04,865 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => _CorExeMain FunctionAddress => 0x674c5573 ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegQueryValueExW |
Handle => 0x00000078 DataLength => 72 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegQueryValueExW |
Handle => 0x00000078 Data => C\x00:\x00\\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00\\x00M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00N\x00E\x00T\x00\\x00F\x00r\x00a\x00m\x00e\x00w\x00o\x00r\x00k\x00\\x00\x00\x00 ValueName => InstallRoot |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.NET\Framework\\* |
SUCCESS | 0x0021a988 | |
| 23:22:04,865 | 2772 | NtQueryDirectoryFile |
FileName => FileHandle => 0x00000078 FileInformation => h\x00\x00\x00\x00\x00\x00\x00\xe0R\xbd\xfa+\x04\xca\x01\xe0\x0f\xc3i|g\xd0\x01\xa0o\x90M\x96f\xd0\x01\xa0o\x90M\x96f\xd0\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x10\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.\x00.\x00d\x00m\x00i\x00\x80\x00\x00\x00\x00\x00\x00\x00F2\x10\xf6\xfa\x03\xca\x01F2\x10\xf6\xfa\x03\xca\x01\xdc\xbd\x88\x94\x11\xea\xc9\x01\x90\xb2\x99`\xa0\xb2\xcf\x01H7\x01\x00\x00\x00\x00\x00\x00@\x01\x00\x00\x00\x00\x00 \x00\x00\x00\x1c\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00N\x00E\x00T\x00F\x00X\x00S\x00B\x00S\x001\x000\x00.\x00e\x00x\x00e\x00\\x00C\x00o\x00\x80\x00\x00\x00\x00\x00\x00\x00s\xf8g\x8e'\x04\xca\x01s\xf8g\x8e'\x04\xca\x01 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v1.0.3705\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v1.0.3705\mscorwks.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v1.1.4322\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v2.0.50727\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtQueryDirectoryFile |
FileName => FileHandle => 0x00000078 FileInformation => |
FAILURE | 0x80000006 | |
| 23:22:04,865 | 2772 | LdrLoadDll |
Flags => 1634748 BaseAddress => 0x76730000 FileName => SHLWAPI.dll |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => UrlIsW FunctionAddress => 0x767453e6 ModuleHandle => 0x76730000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:04,865 | 2772 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegQueryValueExW |
Handle => 0x00000078 DataLength => 4 ValueName => UseLegacyV2RuntimeActivationPolicyDefaultValue Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,865 | 2772 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegOpenKeyExW |
Handle => 0x00000078 Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | RegQueryValueExW |
Handle => 0x00000078 DataLength => 4 ValueName => OnlyUseLatestCLR Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,865 | 2772 | RegCloseKey |
Handle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtQueryInformationFile |
FileHandle => 0x00000078 FileInformation => \x00\x00\x1c\x00\x00\x00\x00\x00\x00\xf4\x1b\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x0000007c FileHandle => 0x00000078 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018f294 SectionHandle => 0x0000007c ProcessHandle => 0xffffffff BaseAddress => 0x01c80000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2636 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2636 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2636 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2636 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2636 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2636 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2636 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2636 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:04,865 | 1596 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 1596 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 1596 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 1596 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 1596 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 1596 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 1596 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtQueryInformationFile |
FileHandle => 0x0000007c FileInformation => \x00\x00\x1c\x00\x00\x00\x00\x00\x00\xf4\x1b\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x00000078 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,865 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018f294 SectionHandle => 0x00000078 ProcessHandle => 0xffffffff BaseAddress => 0x01c80000 |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\.NETFramework\Policy\Standards |
FAILURE | 0x00000002 | |
| 23:22:04,875 | 2772 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework\Policy\Standards |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x0000007c SubKey => v4.0.30319 |
FAILURE | 0x00000002 | |
| 23:22:04,875 | 2772 | RegCloseKey |
Handle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => SOFTWARE\Microsoft\Fusion |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | RegQueryValueExW |
Handle => 0x0000007c DataLength => 4 ValueName => NoClientChecks Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:04,875 | 2772 | RegCloseKey |
Handle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework\v4.0.30319\SKUs\ |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | RegOpenKeyExW |
Handle => 0x00000080 Registry => 0x0000007c SubKey => default |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | RegCloseKey |
Handle => 0x00000080 |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | RegCloseKey |
Handle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:04,875 | 2772 | NtCreateFile |
ShareAccess => 7 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll DesiredAccess => 0x00120080 CreateDisposition => 1 FileHandle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | LdrLoadDll |
Flags => 1636452 BaseAddress => 0x01c80000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetRuntimeInfo FunctionAddress => 0x01dec71d ModuleHandle => 0x01c80000 |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => _CorExeMain FunctionAddress => 0x01deaee4 ModuleHandle => 0x01c80000 |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\.NETFramework |
FAILURE | 0x00000002 | |
| 23:22:05,977 | 2772 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | RegQueryValueExW |
Handle => 0x0000007c DataLength => 4 ValueName => DisableConfigCache Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,977 | 2772 | RegCloseKey |
Handle => 0x0000007c |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\.NETFramework |
FAILURE | 0x00000002 | |
| 23:22:05,977 | 2772 | RegOpenKeyExW |
Handle => 0x0000007c Registry => 0x80000002 SubKey => Software\Microsoft\.NETFramework |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | RegEnumValueW |
Index => 0 Handle => 0x0000007c DataLength => 0 ValueName => InstallRoot Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | RegEnumValueW |
Index => 1 Handle => 0x0000007c DataLength => 0 ValueName => InstallRoot Type => 0 |
FAILURE | 0x00000103 | |
| 23:22:05,977 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetThreadStackGuarantee FunctionAddress => 0x767d5bc1 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:05,977 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EventWrite FunctionAddress => 0x7720f5ab ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EventRegister FunctionAddress => 0x77255a12 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EventUnregister FunctionAddress => 0x77253614 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtProtectVirtualMemory |
OldAccessProtection => 0x00000020 NumberOfBytesProtected => 0x00001000 NewAccessProtection => 0x00000040 ProcessHandle => 0xffffffff BaseAddress => 0x01c81000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtProtectVirtualMemory |
OldAccessProtection => 0x00000040 NumberOfBytesProtected => 0x00001000 NewAccessProtection => 0x00000020 ProcessHandle => 0xffffffff BaseAddress => 0x01c81000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrLoadDll |
Flags => 1633892 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscoree.dll |
FAILURE | 0xc0000135 | |
| 23:22:05,987 | 2772 | LdrLoadDll |
Flags => 1635112 BaseAddress => 0x67620000 FileName => mscoree.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateConfigStream FunctionAddress => 0x67627dd7 ModuleHandle => 0x67620000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateConfigStream_RetAddr FunctionAddress => 0x6762cb5c ModuleHandle => 0x674c0000 |
FAILURE | 0xc0000139 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateConfigStream FunctionAddress => 0x674c4888 ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\config\machine.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtReadFile |
Buffer => <?xml version="1.0" encoding="UTF-8" ?>
<!--
Please refer to machine.config.comments for a description and
the default values of each configuration section.
For a full documentation of the schema please refer to
http://go.microsoft.c FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtReadFile |
Buffer => roup name="system.runtime.caching" type="System.Runtime.Caching.Configuration.CachingSectionGroup, System.Runtime.Caching, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a">
<section name="memoryCache" type="System.Runtime.Cac FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtReadFile |
Buffer => />
<section name="routing" type="System.ServiceModel.Routing.Configuration.RoutingSection, System.ServiceModel.Routing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
<section name="tracking" type="System.Se FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtReadFile |
Buffer => neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition="MachineToApplication" />
<section name="globalization" type="System.Web.Configuration.GlobalizationSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3 FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtReadFile |
Buffer => <section name="siteMap" type="System.Web.Configuration.SiteMapSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition="MachineToApplication" />
<section name="trace" type="System.Web. FileHandle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:05,987 | 2772 | LdrLoadDll |
Flags => 1636472 BaseAddress => 0x771f0000 FileName => ntdll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RtlUnwind FunctionAddress => 0x77218f19 ModuleHandle => 0x771f0000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => IsWow64Process FunctionAddress => 0x767d8b45 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x000000ac Registry => 0x80000002 SubKey => Software\Microsoft\Fusion |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x000000b0 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000b0 DataLength => 520 ValueName => CacheLocation Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x000000b0 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetSystemWindowsDirectoryW FunctionAddress => 0x767e0e44 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x000000b0 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000b0 DataLength => 4 ValueName => DownloadCacheQuotaInKB Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Fusion |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x000000b0 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => EnableLog Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => LoggingLevel Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => ForceLog Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => LogFailures Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => LogResourceBinds Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => FileInUseRetryAttempts Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => FileInUseMillisecondsBetweenRetries Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => UseLegacyIdentityFormat Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => DisableMSIPeek Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x000000ac Registry => 0x80000002 SubKey => Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x000000ac DataLength => 4 ValueName => DevOverrideEnable Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x000000ac |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AllocateAndInitializeSid FunctionAddress => 0x7656b7dc ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTokenInformation FunctionAddress => 0x7656b7b4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitializeAcl FunctionAddress => 0x7656bafa ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddAccessAllowedAce FunctionAddress => 0x7656b95e ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FreeSid FunctionAddress => 0x7656b7f4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtCreateSection |
ObjectAttributes => C:\Global\Cor_Private_IPCBlock_v4_2776 DesiredAccess => 0x000f0007 SectionHandle => 0x000000b0 FileHandle => 0x00000000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018f418 SectionHandle => 0x000000b0 ProcessHandle => 0xffffffff BaseAddress => 0x00080000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AllocateAndInitializeSid FunctionAddress => 0x7656b7dc ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTokenInformation FunctionAddress => 0x7656b7b4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitializeAcl FunctionAddress => 0x7656bafa ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddAccessAllowedAce FunctionAddress => 0x7656b95e ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FreeSid FunctionAddress => 0x7656b7f4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddSIDToBoundaryDescriptor FunctionAddress => 0x767c8950 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateBoundaryDescriptorW FunctionAddress => 0x767c891e ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreatePrivateNamespaceW FunctionAddress => 0x767c5c1f ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenPrivateNamespaceW FunctionAddress => 0x767c17d6 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AllocateAndInitializeSid FunctionAddress => 0x7656b7dc ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTokenInformation FunctionAddress => 0x7656b7b4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitializeAcl FunctionAddress => 0x7656bafa ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddAccessAllowedAce FunctionAddress => 0x7656b95e ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FreeSid FunctionAddress => 0x7656b7f4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtCreateSection |
ObjectAttributes => C:\Cor_SxSPublic_IPCBlock DesiredAccess => 0x000f0007 SectionHandle => 0x000000b4 FileHandle => 0x00000000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018f410 SectionHandle => 0x000000b4 ProcessHandle => 0xffffffff BaseAddress => 0x00190000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DeleteBoundaryDescriptor FunctionAddress => 0x77242921 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FlsSetValue FunctionAddress => 0x767e28e4 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FlsGetValue FunctionAddress => 0x767e0da7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FlsAlloc FunctionAddress => 0x767e8711 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FlsFree FunctionAddress => 0x767e2ab7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WerRegisterRuntimeExceptionModule FunctionAddress => 0x76827531 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtCreateMutant |
Handle => 0x000000c0 InitialOwner => 0 MutexName => |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00190000 BaseAddress => 0x024c0000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RaiseException FunctionAddress => 0x767db69a ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtCreateMutant |
Handle => 0x000000e8 InitialOwner => 1 MutexName => |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | CreateThread |
ThreadId => 2828 StartRoutine => 0x01de741c Parameter => 0x00000000 CreationFlags => 4 |
SUCCESS | 0x000000ec | |
| 23:22:05,987 | 2772 | NtResumeThread |
SuspendCount => 1 ThreadHandle => 0x000000ec |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddVectoredExceptionHandler FunctionAddress => 0x771ffdda ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RemoveVectoredExceptionHandler FunctionAddress => 0x77268281 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AddVectoredContinueHandler FunctionAddress => 0x772158ad ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RemoveVectoredContinueHandler FunctionAddress => 0x77291c99 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x67620000 FileName => mscoree.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 24 FunctionName => FunctionAddress => 0x67628017 ModuleHandle => 0x67620000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 24 FunctionName => FunctionAddress => 0x674c4470 ModuleHandle => 0x674c0000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x771f0000 FileName => ntdll.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetSystemFileCacheSize FunctionAddress => 0x768277a6 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NtSetSystemInformation FunctionAddress => 0x77235bd0 ModuleHandle => 0x771f0000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PrivIsDllSynchronizationHeld FunctionAddress => 0x01de5ba0 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:05,987 | 2772 | NtProtectVirtualMemory |
OldAccessProtection => 0x00000020 NumberOfBytesProtected => 0x00002000 NewAccessProtection => 0x00000040 ProcessHandle => 0xffffffff BaseAddress => 0x01c82000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => Kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetWriteWatch FunctionAddress => 0x768279d1 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ResetWriteWatch FunctionAddress => 0x76827a0a ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00450000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => Kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateMemoryResourceNotification FunctionAddress => 0x767d5c5f ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryMemoryResourceNotification FunctionAddress => 0x767ce67f ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | CreateThread |
ThreadId => 2844 StartRoutine => 0x01d359c0 Parameter => 0x0020fca8 CreationFlags => 4 |
SUCCESS | 0x00000134 | |
| 23:22:05,987 | 2772 | NtResumeThread |
SuspendCount => 1 ThreadHandle => 0x00000134 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\NativeImagesIndex\v4.0.30319_32 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => 128 ValueName => LatestIndex |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x0000013c Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\NativeImagesIndex\v4.0.30319_32 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x0000013c Data => 128 ValueName => LatestIndex |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\index80.dat DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000140 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x00000144 Registry => 0x0000013c SubKey => index80 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000144 Data => ValueName => NIUsageMask |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000144 Data => ValueName => ILUsageMask |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x00000144 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x0000013c SubKey => NI\181938c6\1499ca42 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegEnumKeyExW |
Index => 0 Handle => 0x00000138 Name => 1 Class => |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegEnumKeyExW |
Index => 1 Handle => 0x00000138 Name => 1 Class => |
FAILURE | 0x00000103 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x0000013c SubKey => NI\181938c6\1499ca42\1 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => m\x00s\x00c\x00o\x00r\x00l\x00i\x00b\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x0000013c SubKey => NI\181938c6\1499ca42\1 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 DataLength => 1024 ValueName => NIDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegOpenKeyExW |
Handle => 0x00000138 Registry => 0x0000013c SubKey => IL\1499ca42\653465f8\1 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => m\x00s\x00c\x00o\x00r\x00l\x00i\x00b\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => 8198 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => n\x00o\x00r\x00m\x00i\x00d\x00n\x00a\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00c\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00d\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00k\x00c\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00k\x00d\x00.\x00n\x00l\x00p\x00\x00\x00 ValueName => Modules |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegCloseKey |
Handle => 0x00000138 |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegCreateKeyExW |
Handle => 0x00000138 Access => 131097 Registry => 0x80000002 Class => SubKey => Software\Microsoft\Fusion\GACChangeNotification\Default |
SUCCESS | 0x00000000 | |
| 23:22:05,987 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => mscorlib,4.0.0.0,,b77a5c561934e089,x86 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrLoadDll |
Flags => 1632864 BaseAddress => 0x646d0000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\mscorlib\246f1a5abb686b9dcdf22d3505b08cea\mscorlib.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrLoadDll |
Flags => 1632848 BaseAddress => 0x76550000 FileName => AdvApi32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptAcquireContextA FunctionAddress => 0x76558c7f ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptAcquireContextW FunctionAddress => 0x7655e5c2 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptReleaseContext FunctionAddress => 0x7655e74c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptCreateHash FunctionAddress => 0x7655e552 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptDestroyHash FunctionAddress => 0x7655e56a ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptHashData FunctionAddress => 0x7655e53a ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetHashParam FunctionAddress => 0x7655e582 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptImportKey FunctionAddress => 0x7655bb52 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptExportKey FunctionAddress => 0x76558c8c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGenKey FunctionAddress => 0x76558ac7 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetKeyParam FunctionAddress => 0x7657dd8b ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptDestroyKey FunctionAddress => 0x7655bb3a ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptVerifySignatureA FunctionAddress => 0x76592290 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptVerifySignatureW FunctionAddress => 0x7655bbc3 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptSignHashA FunctionAddress => 0x76592270 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptSignHashW FunctionAddress => 0x76592280 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetProvParam FunctionAddress => 0x765921e0 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetUserKey FunctionAddress => 0x765921f0 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptEnumProvidersA FunctionAddress => 0x765921a0 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptEnumProvidersW FunctionAddress => 0x765921b0 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => Software\Microsoft\StrongName |
FAILURE | 0x00000002 | |
| 23:22:05,997 | 2772 | RegCloseKey |
Handle => 0x0000013c |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_32\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\mscorlib.INI |
SUCCESS | 0xffffffff | |
| 23:22:05,997 | 2772 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021b208 | |
| 23:22:05,997 | 2772 | FindFirstFileExW |
FileName => C:\Users\Administrator\AppData |
SUCCESS | 0x0021b208 | |
| 23:22:05,997 | 2772 | FindFirstFileExW |
FileName => C:\Users\Administrator\AppData\Roaming |
SUCCESS | 0x0021b208 | |
| 23:22:05,997 | 2772 | FindFirstFileExW |
FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe |
SUCCESS | 0x0021b208 | |
| 23:22:05,997 | 2772 | FindFirstFileExW |
FileName => C:\Users\Administrator |
SUCCESS | 0x0021b208 | |
| 23:22:05,997 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryActCtxW FunctionAddress => 0x767d5af8 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetLocaleInfoEx FunctionAddress => 0x767c754c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LocaleNameToLCID FunctionAddress => 0x767d3d72 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrLoadDll |
Flags => 1629640 BaseAddress => 0x6c330000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\nlssorting.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SortGetHandle FunctionAddress => 0x6c33402e ModuleHandle => 0x6c330000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SortCloseHandle FunctionAddress => 0x6c3365c6 ModuleHandle => 0x6c330000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\SortDefault.nlp DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000140 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x0000013c FileHandle => 0x00000140 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018dd2c SectionHandle => 0x0000013c ProcessHandle => 0xffffffff BaseAddress => 0x04690000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2828 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2828 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2828 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2828 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2828 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2828 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2828 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2828 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 2 times |
| 23:22:05,997 | 2844 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:05,997 | 2844 | LdrLoadDll |
Flags => 39709556 BaseAddress => 0x765f0000 FileName => rpcrt4.dll |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000158 ObjectAttributes => Software\Microsoft\Rpc |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtQueryValueKey |
Information => 1048576 KeyHandle => 0x00000158 ValueName => MaxRpcSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000164 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\ComputerName\ActiveComputerName |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000164 ValueName => ComputerName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000164 ObjectAttributes => \Registry\Machine\System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000164 ValueName => OOBEInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000164 ObjectAttributes => \Registry\Machine\System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000164 ValueName => SystemSetupInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:05,997 | 2844 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\Rpc |
FAILURE | 0xc0000034 | |
| 23:22:05,997 | 2844 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:05,997 | 2844 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:06,007 | 2844 | NtCreateThreadEx |
CreateSuspended => 3 ThreadHandle => 0x0000018c ProcessHandle => 0xffffffff StartAddress => 0x7721edfb |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2844 | NtResumeThread |
SuspendCount => 1 ThreadHandle => 0x0000018c |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CompareStringOrdinal FunctionAddress => 0x767d91a5 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrLoadDll |
Flags => 1628872 BaseAddress => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFullPathName FunctionAddress => 0x649fae18 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:06,007 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFullPathNameW FunctionAddress => 0x767e19d1 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrLoadDll |
Flags => 1634192 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\ole32.dll |
FAILURE | 0xc0000135 | |
| 23:22:06,007 | 2772 | LdrLoadDll |
Flags => 1635412 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoInitializeEx FunctionAddress => 0x77000804 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x04970950 FileName => C:\Windows\system32\rpcss.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:06,007 | 2772 | LdrLoadDll |
Flags => 1635008 BaseAddress => 0x75290000 FileName => CRYPTBASE.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SystemFunction036 FunctionAddress => 0x752912f0 ModuleHandle => 0x75290000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | NtOpenFile |
ShareAccess => 7 FileName => C:\Device\KsecDD DesiredAccess => 0x00100001 FileHandle => 0x000001b4 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | DeviceIoControl |
DeviceHandle => 0x000001b4 OutBuffer => \xbc\x83\x93\xf6\x00@A\xae\xce\xa2<\xc6\x82\x9d\x8e\xa5\xd9/^\x97\xbd7\xd2o)S\xaez\xbb0J\x9d\xd5\x98\xb1\xeb\xb9mY\xb8u\xa3if\xbf\xc0]& IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:06,007 | 2772 | DeviceIoControl |
DeviceHandle => 0x000001b4 OutBuffer => O\x8fs\xe1\xe2\x8b\x11\xfcdN\x14\~\xeb\xa1!\xfd\xfd\x0f\x10\xc0\xf8\xf8\x9e\xa7Z\xbd\xc4\xcb\xae+:\x01cO\xaee5\xa6\xe4\xfd\x12\xb1\xc1\xa8M>X IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:06,007 | 2772 | RegOpenKeyExW |
Handle => 0x000001b8 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\NativeImagesIndex\v4.0.30319_32 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegQueryValueExW |
Handle => 0x000001b8 Data => 128 ValueName => LatestIndex |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegOpenKeyExW |
Handle => 0x000001bc Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\NativeImagesIndex\v4.0.30319_32 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegQueryValueExW |
Handle => 0x000001bc Data => 128 ValueName => LatestIndex |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\index80.dat DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000001c0 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegOpenKeyExW |
Handle => 0x000001c4 Registry => 0x000001bc SubKey => index80 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegQueryValueExW |
Handle => 0x000001c4 Data => ValueName => NIUsageMask |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegQueryValueExW |
Handle => 0x000001c4 Data => ValueName => ILUsageMask |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegCloseKey |
Handle => 0x000001c4 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegCloseKey |
Handle => 0x000001b8 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001bc SubKey => NI\635747c0\327b2b3f |
FAILURE | 0x00000002 | 1 time |
| 23:22:06,007 | 2772 | FindFirstFileExW |
FileName => C:\Users\Administrator\AppData\Roaming\svchost.INI |
SUCCESS | 0xffffffff | |
| 23:22:06,007 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Users\Administrator\AppData\Roaming\svchost.exe DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000001b8 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | NtQueryInformationFile |
FileHandle => 0x000001b8 FileInformation => \x00\x00\x1c\x00\x00\x00\x00\x00\x00\xf4\x1b\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x000001c4 FileHandle => 0x000001b8 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018eda8 SectionHandle => 0x000001c4 ProcessHandle => 0xffffffff BaseAddress => 0x04a70000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2844 | LdrLoadDll |
Flags => 39711736 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2844 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetContextToken FunctionAddress => 0x76ff9d0f ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrLoadDll |
Flags => 1629012 BaseAddress => 0x67460000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\clrjit.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => sxsJitStartup FunctionAddress => 0x674a92a0 ModuleHandle => 0x67460000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => getJit FunctionAddress => 0x674a9388 ModuleHandle => 0x67460000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00480000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:06,007 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserDefaultLocaleName FunctionAddress => 0x7681f753 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000001b8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Nls\Locale |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000001c4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Nls\Locale\Alternate Sorts |
SUCCESS | 0x00000000 | |
| 23:22:06,007 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000001c8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Nls\Language Groups |
SUCCESS | 0x00000000 | |
| 23:22:06,017 | 2772 | NtQueryValueKey |
Information => 1\x00\x00\x00 KeyHandle => 0x000001b8 ValueName => 00000409 Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,017 | 2772 | NtQueryValueKey |
Information => 1\x00\x00\x00 KeyHandle => 0x000001c8 ValueName => 1 Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,017 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:06,017 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LCIDToLocaleName FunctionAddress => 0x767c75de ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,017 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:06,017 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserPreferredUILanguages FunctionAddress => 0x767c80a9 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,017 | 2772 | NtQueryValueKey |
Information => 1\x00\x00\x00 KeyHandle => 0x000001b8 ValueName => 00000409 Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,017 | 2772 | NtQueryValueKey |
Information => 1\x00\x00\x00 KeyHandle => 0x000001c8 ValueName => 1 Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00980000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00640000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00620000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00017000 BaseAddress => 0x00960000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00610000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00600000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x005f0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x005e0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x005d0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x005c0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00490000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00480000 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e0 Registry => 0x80000002 SubKey => Software\Microsoft\Fusion\PublisherPolicy\Default |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e0 Data => 1 ValueName => Latest |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\assembly\pubpol1.dat DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000001e4 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e0 Data => ValueName => index1 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e0 Data => ValueName => LegacyPolicyTimeStamp |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\config\machine.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtReadFile |
Buffer => <?xml version="1.0" encoding="UTF-8" ?>
<!--
Please refer to machine.config.comments for a description and
the default values of each configuration section.
For a full documentation of the schema please refer to
http://go.microsoft.c FileHandle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtReadFile |
Buffer => roup name="system.runtime.caching" type="System.Runtime.Caching.Configuration.CachingSectionGroup, System.Runtime.Caching, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a">
<section name="memoryCache" type="System.Runtime.Cac FileHandle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtReadFile |
Buffer => />
<section name="routing" type="System.ServiceModel.Routing.Configuration.RoutingSection, System.ServiceModel.Routing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
<section name="tracking" type="System.Se FileHandle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtReadFile |
Buffer => neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition="MachineToApplication" />
<section name="globalization" type="System.Web.Configuration.GlobalizationSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3 FileHandle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | NtReadFile |
Buffer => <section name="siteMap" type="System.Web.Configuration.SiteMapSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition="MachineToApplication" />
<section name="trace" type="System.Web. FileHandle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Core__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Core__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => NI\7ac727df\4c76d55c |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegEnumKeyExW |
Index => 0 Handle => 0x000001e8 Name => 7 Class => |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegEnumKeyExW |
Index => 1 Handle => 0x000001e8 Name => 7 Class => |
FAILURE | 0x00000103 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => NI\7ac727df\4c76d55c\7 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00C\x00o\x00r\x00e\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => NI\7ac727df\4c76d55c\7 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => NIDependencies |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => IL\62a6b5be\32040726\3 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00S\x00e\x00c\x00u\x00r\x00i\x00t\x00y\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => IL\34f474d5\65246f3f\7 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00X\x00m\x00l\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => IL\77165922\6b6524e6\4 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00N\x00u\x00m\x00e\x00r\x00i\x00c\x00s\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => IL\4c76d55c\14c565de\5 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00C\x00o\x00r\x00e\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => NI\181938c6\1499ca42\1 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => m\x00s\x00c\x00o\x00r\x00l\x00i\x00b\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => NIDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => IL\1499ca42\653465f8\1 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => m\x00s\x00c\x00o\x00r\x00l\x00i\x00b\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 8198 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => n\x00o\x00r\x00m\x00i\x00d\x00n\x00a\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00c\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00d\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00k\x00c\x00.\x00n\x00l\x00p\x00|\x00n\x00o\x00r\x00m\x00n\x00f\x00k\x00d\x00.\x00n\x00l\x00p\x00\x00\x00 ValueName => Modules |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => NI\30bc7c4f\5a99e5cd\8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => S\x00y\x00s\x00t\x00e\x00m\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => NIDependencies |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => IL\5d94bc56\3b150cef\6 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00C\x00o\x00n\x00f\x00i\x00g\x00u\x00r\x00a\x00t\x00i\x00o\x00n\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x000001e8 Registry => 0x000001bc SubKey => IL\5a99e5cd\6598e7b6\8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => S\x00y\x00s\x00t\x00e\x00m\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x000001e8 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegCloseKey |
Handle => 0x000001e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Core__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Core__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Core,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Configuration__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Configuration__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Configuration__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Configuration__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Configuration,4.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Xml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Xml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Xml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Xml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,027 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Xml,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,027 | 2772 | LdrLoadDll |
Flags => 1620216 BaseAddress => 0x63e30000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\System\964da027ebca3b263a05cadb8eaa20a3\System.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Security__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Security__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Security__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Security__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Security,4.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Numerics__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Numerics__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Numerics__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Numerics__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Numerics,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | LdrLoadDll |
Flags => 1620440 BaseAddress => 0x63770000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Core\713647b987b140a17e3c4ffe4c721f85\System.Core.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System.Core\v4.0_4.0.0.0__b77a5c561934e089\System.Core.INI |
SUCCESS | 0xffffffff | |
| 23:22:06,037 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => SOFTWARE\Microsoft\.NETFramework\Policy\APTCA |
FAILURE | 0x00000002 | |
| 23:22:06,037 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\System.INI |
SUCCESS | 0xffffffff | 1 time |
| 23:22:06,037 | 2772 | LdrLoadDll |
Flags => 1628156 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_32\mscorlib\v4.0_4.0.0.0__b77a5c561934e089\bcrypt.dll |
FAILURE | 0xc0000135 | |
| 23:22:06,037 | 2772 | LdrLoadDll |
Flags => 1628156 BaseAddress => 0x74ed0000 FileName => bcrypt.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => BCryptGetFipsAlgorithmMode FunctionAddress => 0x74ed30df ModuleHandle => 0x74ed0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | NtOpenKey |
DesiredAccess => 1 KeyHandle => 0x000001f8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x000001f8 ValueName => Enabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | NtOpenKey |
DesiredAccess => 1 KeyHandle => 0x000001fc ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Lsa |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | NtQueryValueKey |
KeyHandle => 0x000001fc ValueName => FipsAlgorithmPolicy |
FAILURE | 0xc0000034 | |
| 23:22:06,037 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ReleaseMutex FunctionAddress => 0x767def88 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateMutex FunctionAddress => 0x649fb05d ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:06,037 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateMutexW FunctionAddress => 0x767d5f40 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CloseHandle FunctionAddress => 0x767e05b7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | NtCreateMutant |
Handle => 0x000001fc InitialOwner => 0 MutexName => Bot executed |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00480000 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:06,037 | 2772 | LdrLoadDll |
Flags => 1623468 BaseAddress => 0x71550000 FileName => shfolder.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SHGetFolderPath FunctionAddress => 0x649fb0cd ModuleHandle => 0x71550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,037 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SHGetFolderPathW FunctionAddress => 0x715513ac ModuleHandle => 0x71550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | LdrLoadDll |
Flags => 1623536 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemAlloc FunctionAddress => 0x77014054 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | NtOpenSection |
DesiredAccess => 0x00000006 ObjectAttributes => C:\windows_shell_global_counters SectionHandle => 0x00000210 |
SUCCESS | 0x00000000 | |
| 23:22:06,037 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018cfcc SectionHandle => 0x00000210 ProcessHandle => 0xffffffff BaseAddress => 0x00480000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000214 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\FolderDescriptions |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrLoadDll |
Flags => 1624684 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => StringFromGUID2 FunctionAddress => 0x770007b8 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000218 ObjectAttributes => {3EB685DB-65F9-4CF6-A03A-E3EF65729F3D} |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
Information => 4 KeyHandle => 0x00000218 ValueName => Category Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
Information => A\x00p\x00p\x00D\x00a\x00t\x00a\x00\x00\x00 KeyHandle => 0x00000218 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => ParentFolder |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => Description |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
Information => A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00R\x00o\x00a\x00m\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x00000218 ValueName => RelativePath Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => ParsingName |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => InfoTip |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => LocalizedName |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => Icon |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => Security |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => StreamResource |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => StreamResourceType |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => LocalRedirectOnly |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => Roamable |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => PreCreate |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => Stream |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => PublishExpandedPath |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => Attributes |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => FolderTypeID |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000218 ValueName => InitFolderHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => PropertyBag |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | LdrLoadDll |
Flags => 1624964 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenThreadToken FunctionAddress => 0x7656b79c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000218 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000214 ObjectAttributes => SessionInfo\1 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => KnownFolders |
FAILURE | 0xc0000034 | |
| 23:22:06,047 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000214 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000021c ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
Information => %\x00U\x00S\x00E\x00R\x00P\x00R\x00O\x00F\x00I\x00L\x00E\x00%\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00R\x00o\x00a\x00m\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x0000021c ValueName => AppData Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Windows\CurrentVersion\Explorer\KnownFolderSettings |
FAILURE | 0xc0000034 | 1 time |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemFree FunctionAddress => 0x77014003 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00490000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetComputerName FunctionAddress => 0x649fafd4 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetComputerNameW FunctionAddress => 0x767d3d8a ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x0000021c ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\ComputerName |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000214 ObjectAttributes => ActiveComputerName |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000214 ValueName => ComputerName Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000214 ObjectAttributes => \Registry\Machine\System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000214 ValueName => OOBEInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000214 ObjectAttributes => \Registry\Machine\System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000214 ValueName => SystemSetupInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00490000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrLoadDll |
Flags => 1623484 BaseAddress => 0x76550000 FileName => advapi32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserName FunctionAddress => 0x649fafc8 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserNameW FunctionAddress => 0x76562ed2 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrLoadDll |
Flags => 1626044 BaseAddress => 0x75220000 FileName => SspiCli.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetUserNameExW FunctionAddress => 0x752229fc ModuleHandle => 0x75220000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentProcessId FunctionAddress => 0x767e0d23 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentProcessIdW FunctionAddress => 0x0018e971 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LookupPrivilegeValue FunctionAddress => 0x64034c0b ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LookupPrivilegeValueW FunctionAddress => 0x7656b663 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LookupPrivilegeValueW |
SystemName => PrivilegeName => SeDebugPrivilege |
SUCCESS | 0x00000001 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentProcess FunctionAddress => 0x767e060c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessTokenW FunctionAddress => 0x0018dc61 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AdjustTokenPrivileges FunctionAddress => 0x7656b656 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AdjustTokenPrivilegesW FunctionAddress => 0x0018dc51 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CloseHandle FunctionAddress => 0x767e05b7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcess FunctionAddress => 0x767d73e4 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessW FunctionAddress => 0x0018e891 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrLoadDll |
Flags => 1630572 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\psapi.dll |
FAILURE | 0xc0000135 | |
| 23:22:06,047 | 2772 | LdrLoadDll |
Flags => 1630572 BaseAddress => 0x76870000 FileName => psapi.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EnumProcessModules FunctionAddress => 0x76871408 ModuleHandle => 0x76870000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EnumProcessModulesW FunctionAddress => 0x0018e8a1 ModuleHandle => 0x76870000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x0000022c BaseAddress => 0x7ffd700c |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x08\x19\x1f\x00 ProcessHandle => 0x0000022c BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x80\x19\x1f\x00\x8cx,w\x88\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb8\x00N\xa1\xd3\x00\x00\x80\x1c\x00d\x00f\x00\x18\x17\x1f\x00\x16\x00\x18\x00f\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xf0\xa5,w\xf0\xa5,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00P\x19\x1f\x00P\x19\x1f\x00X\x19\x1f\x00X\x19\x1f\x00(\xe3\x1f\x00(\xe3\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x0000022c BaseAddress => 0x001f1900 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xe0\x1e\x1f\x00\x00\x19\x1f\x00\xe8\x1e\x1f\x00\x08\x19\x1f\x00P\x1d\x1f\x00\x9cx,w\x00\x00\x1fw\x00\x00\x00\x00\x00\xc0\x13\x00:\x00<\x00\x80\x18\x1f\x00\x12\x00\x14\x00\xcc\xd4%w\x04@\x00\x80\xff\xff\x00\x00\x80\xa6,w\x80\xa6,w\xdb\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xd0\x19\x1f\x00\xd0\x19\x1f\x00\xd8\x19\x1f\x00\xd8\x19\x1f\x00\xe0\x19\x1f\x00\xe0\x19\x1f\x00\x00\x00\x00\x00\x00\x00\xecw\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x0000022c BaseAddress => 0x001f1980 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => p\x1c\x1f\x00\x80\x19\x1f\x00x\x1c\x1f\x00\x88\x19\x1f\x00\xc8\xe6\x1f\x00\x80\x1c\x1f\x00\x00\x00bgT.bg\x00\xa0\x04\x00>\x00@\x00\x98\x1e\x1f\x00\x16\x00\x18\x00\xc0\x1e\x1f\x00\x04@\x08\x80\xff\xff\x00\x00\x00\xa6,w\x00\xa6,w\x84\xaf\xf3J\x00\x00\x00\x00\x00\x00\x00\x000\x1f\x1f\x000\x1f\x1f\x008\x1f\x1f\x008\x1f\x1f\x00\xd8\x1d\x1f\x00\xd8\x1d\x1f\x00\xc8\xc1$w\x00\x00\x00y\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001f1ee0 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => @\x1d\x1f\x00\xe0\x1e\x1f\x00H\x1d\x1f\x00\xe8\x1e\x1f\x00\xf0\x1e\x1f\x00P\x1d\x1f\x00\x00\x00yv\xc5\x10~v\x00@
\x00@\x00B\x00`\x1f\x1f\x00\x18\x00\x1a\x00\x88\x1f\x1f\x00\x04@\x08\x80\xff\xff\x00\x00@\xa6,w@\xa6,w\xad\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xa8\xec\x1f\x00\xa8\xec\x1f\x00\xc8\x1c\x1f\x00\xc8\x1c\x1f\x00\xc0\x1d\x1f\x00\xb0\x1f\x1f\x00\xe4\xc1$w\x00\x00\xdew\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001f1c70 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xb8\xe6\x1f\x00p\x1c\x1f\x00\xc0\xe6\x1f\x00x\x1c\x1f\x00\x80\x1c\x1f\x00\x90\x19\x1f\x00\x00\x00Vu\x9dzVu\x00\xa0\x04\x00D\x00F\x00\xf0\x1c\x1f\x00\x1c\x00\x1e\x00\x18\x1d\x1f\x00\x04@\x08\x80\xff\xff\x00\x00\x90\xa6,w\x90\xa6,w\xae\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\x90\x1d\x1f\x00\x90\x1d\x1f\x00\x98\x1d\x1f\x00\x98\x1d\x1f\x00\xc8\x1f\x1f\x00\xc8\x1f\x1f\x00\xe4\xc1$w\x00\x00\xce
\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001f1d40 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xb0\xe7\x1f\x00@\x1d\x1f\x00\xb8\xe7\x1f\x00H\x1d\x1f\x00\xc8\xe9\x1f\x00\xf0\x1e\x1f\x00\x00\x00\x12wr\xa4\x12w\x00\xc0
\x00<\x00>\x00p\xe6\x1f\x00\x14\x00\x16\x00\x98\xe6\x1f\x00\x04@\x08\x800\x00\x00\x00$\xf1\x1f\x00x\xa6,wo\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe7\x1f\x00\x08\xe7\x1f\x00\x10\xe7\x1f\x00\x10\xe7\x1f\x008\xe7\x1f\x00X\xe4\x1f\x00\xe4\xc1$w\x00\x00\xf5o\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001fe6b8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xa8\xe8\x1f\x00\xb8\xe6\x1f\x00\xb0\xe8\x1f\x00\xc0\xe6\x1f\x00\xf8\xf0\x1f\x00\xb8\xe8\x1f\x00\x00\x00svJ\xa2tv\x00p\x05\x00>\x00@\x00h\xe7\x1f\x00\x16\x00\x18\x00\x90\xe7\x1f\x00\x04@\x0c\x80\x05\x00\x00\x00\xb0\xa6,w\xb0\xa6,w\x05\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe8\x1f\x00\x00\xe8\x1f\x00\x08\xe8\x1f\x00\x08\xe8\x1f\x00\x18\xec\x1f\x000\xe8\x1f\x00\xe4\xc1$w\x00\x00\xe2m\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001fe7b0 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xb8\xe9\x1f\x00\xb0\xe7\x1f\x00\xc0\xe9\x1f\x00\xb8\xe7\x1f\x00\xc0\xe7\x1f\x00\xa0\xee\x1f\x00\x00\x00=wI\xec=w\x00\xe0\x04\x00:\x00<\x00`\xe8\x1f\x00\x12\x00\x14\x00\x88\xe8\x1f\x00\x04@\x0c\x800\x00\x00\x00\x94\xef\x1f\x00\xa8\xa6,w\xdd\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\xe8\x1f\x00\xf8\xe8\x1f\x00\x00\xe9\x1f\x00\x00\xe9\x1f\x00\xb8\xeb\x1f\x00(\xe9\x1f\x00\xe4\xc1$w\x00\x00\xb6w\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001fe8a8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x90\xee\x1f\x00\xa8\xe8\x1f\x00\x98\xee\x1f\x00\xb0\xe8\x1f\x00h\xef\x1f\x00\xc8\xe6\x1f\x00\x00\x00\x88v\xc9\xf7\x89v\x00\x90\x0c\x00<\x00>\x00p\xe9\x1f\x00\x14\x00\x16\x00\x98\xe9\x1f\x00\x04@\x0c\x803\x00\x00\x00P\xa6,wP\xa6,w/\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\x08\xea\x1f\x00\x08\xea\x1f\x00\x10\xea\x1f\x00\x10\xea\x1f\x00\x80\xea\x1f\x008\xea\x1f\x00\xe4\xc1$w\x00\x00\xd1w\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001fe9b8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => X\xef\x1f\x00\xb8\xe9\x1f\x00`\xef\x1f\x00\xc0\xe9\x1f\x00\xb8\xe8\x1f\x00h\xef\x1f\x00\x00\x00jvl\x13jv\x00\xa0\x00\x006\x008\x00P\xee\x1f\x00\x0e\x00\x10\x00x\xee\x1f\x00\x04@\x0c\x80\x0c\x00\x00\x00\xb4\xff\x1f\x008\xa6,w\x19\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xe0\xee\x1f\x00\xe0\xee\x1f\x00\xe8\xee\x1f\x00\xe8\xee\x1f\x00\xa0\xeb\x1f\x00\xb0\xea\x1f\x00\xe4\xc1$w\x00\x00,@\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001fee90 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf0\x1f\x00\x90\xee\x1f\x00(\xf0\x1f\x00\x98\xee\x1f\x00\xa0\xee\x1f\x00\xc8\xe9\x1f\x00\x00\x00\xb3v\xd7G\xb6v\x00\xd0 \x00:\x00<\x00\x10\xef\x1f\x00\x12\x00\x14\x008\xef\x1f\x00\x04@\x0c\x80\x0c\x00\x00\x004\xff\x1f\x00\xe4\xe8\x1f\x002\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xa8\xef\x1f\x00\xa8\xef\x1f\x00\xb0\xef\x1f\x00\xb0\xef\x1f\x00\x88\xeb\x1f\x00(\xeb\x1f\x00\xe4\xc1$w\x00\x00\x8eo\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001fef58 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xe8\xf0\x1f\x00X\xef\x1f\x00\xf0\xf0\x1f\x00`\xef\x1f\x00\x80\xf2\x1f\x00\xb8\xf1\x1f\x00\x00\x00\x95v]\x14\x95v\x00P\x03\x00<\x00>\x00\xd8\xef\x1f\x00\x14\x00\x16\x00\x00\xf0\x1f\x00\x04@\x08\x80\x04\x00\x00\x00\xb4\x02 \x00p\xa6,wJ\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00p\xf0\x1f\x00p\xf0\x1f\x00x\xf0\x1f\x00x\xf0\x1f\x00h\xed\x1f\x00H\xec\x1f\x00\xe4\xc1$w\x00\x00\xacA\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001ff020 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xa8\xf1\x1f\x00 \xf0\x1f\x00\xb0\xf1\x1f\x00(\xf0\x1f\x00\xb8\xf1\x1f\x00\xc0\xe7\x1f\x00\x00\x00_v\xd4\xafbv\x00\x10
\x00<\x00>\x00\xa0\xf0\x1f\x00\x14\x00\x16\x00\xc8\xf0\x1f\x00\x04@\x08\x80\x1b\x00\x00\x00x\xa6,w\xf4\xe6\x1f\x00\xde\xda[J\x00\x00\x00\x00\x00\x00\x00\x008\xf1\x1f\x008\xf1\x1f\x00@\xf1\x1f\x00@\xf1\x1f\x00\xf0\xec\x1f\x00\xc0\xec\x1f\x00\xe4\xc1$w\x00\x00\xbbw\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001ff0e8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x98\xf4\x1f\x00\xe8\xf0\x1f\x00\xa0\xf4\x1f\x00\xf0\xf0\x1f\x000\xf0\x1f\x00\xf8\xf0\x1f\x00\x00\x003w\x82\x173w\x00`\x00\x006\x008\x00h\xf1\x1f\x00\x0e\x00\x10\x00\x90\xf1\x1f\x00\x04@\x0c\x80\x04\x00\x00\x004\xfe\x1f\x00 \xa6,w\xd9\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xf8\xf1\x1f\x00\xf8\xf1\x1f\x00\x00\xf2\x1f\x00\x00\xf2\x1f\x00P\xed\x1f\x00 \xed\x1f\x00\xe4\xc1$w\x00\x00\x16@\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001ff1a8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => p\xf2\x1f\x00\xa8\xf1\x1f\x00x\xf2\x1f\x00\xb0\xf1\x1f\x00\x08\xfe\x1f\x00\x80\xf2\x1f\x00\x00\x00/vU\x13/v\x00\xf0\x01\x00:\x00<\x00P\xf4\x1f\x00\x12\x00\x14\x00x\xf4\x1f\x00\x04@\x08\x80\x02\x00\x00\x004\x08 \x000\xa6,w\x07\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xe8\xf4\x1f\x00\xe8\xf4\x1f\x00\xf0\xf4\x1f\x00\xf0\xf4\x1f\x00\xa8\xf5\x1f\x00\x98\xed\x1f\x00\xe4\xc1$w\x00\x00\x84A\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001ff498 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\xfd\x1f\x00\x98\xf4\x1f\x00\x00\xfe\x1f\x00\xa0\xf4\x1f\x00\xa8\xf4\x1f\x000\xf0\x1f\x00\x00\x00\xdev\x8b\x16\xdev\x00\xc0\x0c\x00:\x00<\x00(\xf2\x1f\x00\x12\x00\x14\x00P\xf2\x1f\x00\x04@\x08\x80\x01\x00\x00\x004\x0e \x00\x88\xa6,wi\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xf2\x1f\x00\xc0\xf2\x1f\x00\xc8\xf2\x1f\x00\xc8\xf2\x1f\x00\x90\xf5\x1f\x00\x10\xee\x1f\x00\xe4\xc1$w\x00\x00\x99p\x10c&j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001ff270 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\xfe\x1f\x00p\xf2\x1f\x00\x80\xfe\x1f\x00x\xf2\x1f\x00\x08\xff\x1f\x00\xa8\xf4\x1f\x00\x00\x00$ul+$u\x00\xb0\x04\x00>\x00@\x00\xc8\xf3\x1f\x00\x16\x00\x18\x00\xf0\xf3\x1f\x00\x04@\x0c\x80\xff\xff\x00\x004\x0c \x00\xe4\xf1\x1f\x00\xb6\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00H\xfe\x1f\x00H\xfe\x1f\x00P\xfe\x1f\x00P\xfe\x1f\x00\xd8\xf5\x1f\x00\xc0\xf5\x1f\x00\xe4\xc1$w\x00\x00\x00o@\xea'j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001ffdf8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\xfe\x1f\x00\xf8\xfd\x1f\x00\x00\xff\x1f\x00\x00\xfe\x1f\x00\x88\xff\x1f\x00\x08\xff\x1f\x00\x00\x00Uv\xd9-Wv\x00\x00
\x00@\x00B\x00\xd8F!\x00\x18\x00\x1a\x00\x00G!\x00\x04@\x08\x80\x08\x00\x00\x00\xa0\xa6,w\xa0\xa6,w~\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00\xc8\xfe\x1f\x00\xc8\xfe\x1f\x00\xd0\xfe\x1f\x00\xd0\xfe\x1f\x00\x10\xf7\x1f\x00 \xf6\x1f\x00\xe4\xc1$w\x00\x00\xc6wpq)j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001ffe78 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\xff\x1f\x00x\xfe\x1f\x00\x80\xff\x1f\x00\x80\xfe\x1f\x00\x88\xfe\x1f\x00\x08\xfe\x1f\x00\x00\x00\x1dwuI\x1dw\x00\x90\x01\x00>\x00@\x00\xd8u \x00\x16\x00\x18\x00\x00v \x00\x04@\x0c\x80 \x00\x00\x00\xa8\xa6,w\x94\xef\x1f\x00\x04\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00H\xff\x1f\x00H\xff\x1f\x00P\xff\x1f\x00P\xff\x1f\x00\xc8\xf6\x1f\x00h\xf6\x1f\x00\xe4\xc1$w\x00\x00\xb2\x02pq)j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001ffef8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\x00 \x00\xf8\xfe\x1f\x00\x80\x00 \x00\x00\xff\x1f\x00\x88\x00 \x00\x88\xfe\x1f\x00\x00\x00\xd8t]\x14\xd8t\x00\xc0\x03\x00>\x00@\x00\xb8t \x00\x16\x00\x18\x00\xe0t \x00\x04@\x08\x80\x02\x00\x00\x008\xa6,w\xcc\xee\x1f\x00w\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xc8\xff\x1f\x00\xc8\xff\x1f\x00\xd0\xff\x1f\x00\xd0\xff\x1f\x00\xd0\xf7\x1f\x00@\xf7\x1f\x00\xe4\xc1$w\x00\x00\x88l\xa0\xf8*j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x001fff78 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\x01 \x00x\xff\x1f\x00\x80\x01 \x00\x80\xff\x1f\x00\x88\x01 \x00\x88\xff\x1f\x00\x00\x00\x85t\xdf\x15\x85t\x00P\x00\x00@\x00B\x00xG!\x00\x18\x00\x1a\x00\xa0G!\x00\x04@\x0c\x80\x01\x00\x00\x00\xe0\xa5,w\xe0\xa5,wZ\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x00 \x00\xc8\x00 \x00\xd0\x00 \x00\xd0\x00 \x00\x00\xf8\x1f\x00\xe8\xf7\x1f\x00\xe4\xc1$w\x00\x00\xd2?\xa0\xf8*j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200078 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\x01 \x00x\x00 \x00\x00\x02 \x00\x80\x00 \x00\x88\x02 \x00\x88\x00 \x00\x00\x00Lgx5Lg\x00`\x06\x00t\x00v\x00\xf8\x00 \x00\x18\x00\x1a\x00T\x01 \x00\x04@\x08\x80\x01\x00\x00\x00\xb4
\x00\xb8\xa6,w\xa9\xd8\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x01 \x00\xc8\x01 \x00\xd0\x01 \x00\xd0\x01 \x000\xf8\x1f\x000\xf8\x1f\x00\xc8\xc1$w\x00\x00;`\xd0\x7f,j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200178 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\x02 \x00x\x01 \x00\x80\x02 \x00\x80\x01 \x00\x88\x03 \x00\x88\x02 \x00\x00\x00\xc8\x01\xf0X\xd3\x01\x00\xf0f\x00j\x00l\x00\xc88 \x00\x0e\x00\x10\x00$9 \x00\x04@\x08\x80\x02\x00\x00\x00\xb4\x0c \x00h\xa6,w\xef\xd9\xa1K\x00\x00\x00\x00\x00\x00\x00\x00H\x02 \x00H\x02 \x00P\x02 \x00P\x02 \x00\xb8, \x00@, \x00\xc8\xc1$w\x00\x00\x14y\xa0\x1d\xd6j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x002001f8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\x03 \x00\xf8\x01 \x00\x80\x03 \x00\x00\x02 \x00\x08\x02 \x00\x88\x01 \x00\x00\x00\xecf\xd4Q\xeef\x00\xe0\x0b\x00P\x00R\x00P\xfe \x00(\x00*\x00x\xfe \x00\x04@\x08\x80\x04\x00\x00\x00\xb4\x03 \x00\\xf0\x1f\x00\xf2\xdb\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x02 \x00\xc8\x02 \x00\xd0\x02 \x00\xd0\x02 \x00(, \x00(, \x00\xc8\xc1$w\x00\x00\x06y\xa0\x1d\xd6j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200278 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\x03 \x00x\x02 \x00\x00\x04 \x00\x80\x02 \x00\x08\x04 \x00\x08\x02 \x00\x00\x00md\x00\x00\x00\x00\x000\xdc\x00\xd0\x00\xd2\x008\xab#\x00\x1e\x00 \x00\xea\xab#\x00\x04@\x00\x80\x01\x00\x00\x00p\xa6,w\xb4\x02 \x00o\xda\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x03 \x00\xc8\x03 \x00\xd0\x03 \x00\xd0\x03 \x00\xd8\x03 \x00\xd8\x03 \x00\xc8\xc1$w\x00\x00\x88y\x00,\xd9j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200378 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\x05 \x00x\x03 \x00\x80\x05 \x00\x80\x03 \x00\x88\x05 \x00\x88\x03 \x00\x00\x003l\xe8\x1d3l\x00\x00\x01\x00x\x00z\x00x\xa2#\x00\x1c\x00\x1e\x00\xd4\xa2#\x00\x04@\x08\x80\x01\x00\x00\x00\xd8\xa5,w\xd8\xa5,w\xae\xd8\xa1K\x00\x00\x00\x00\x00\x00\x00\x00H\x04 \x00H\x04 \x00P\x04 \x00P\x04 \x00\x90\xa5#\x00x\xa5#\x00\xc8\xc1$w\x00\x00\x93`\x00,\xd9j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x002003f8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\x05 \x00\xf8\x03 \x00\x00\x06 \x00\x00\x04 \x00\x08\x06 \x00\x08\x04 \x00\x00\x00\xfcv\x13]\x01w\x00\xc0\x15\x00:\x00<\x00\x80p \x00\x12\x00\x14\x00\xa8p \x00\x04@\x08\x80\x03\x00\x00\x00H\xa6,wH\xa6,w\xc7\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x05 \x00\xc8\x05 \x00\xd0\x05 \x00\xd0\x05 \x00\x18-$\x00\x00\xa8#\x00\xe4\xc1$w\x00\x00Tr0\xb3\xdaj|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200578 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\x07 \x00x\x05 \x00\x00\x08 \x00\x80\x05 \x00\x08\x08 \x00\x88\x05 \x00\x00\x00)u\xe1\x10)u\x00\xc0\x00\x00B\x00D\x00\xe8J!\x00\x1a\x00\x1c\x00\x10K!\x00\x04@\x08\x80\x01\x00\x00\x00\x08\xa6,w\x08\xa6,wA\xbf[J\x00\x00\x00\x00\x00\x00\x00\x00H\x06 \x00H\x06 \x00P\x06 \x00P\x06 \x00`-$\x000-$\x00\xe4\xc1$w\x00\x00\x00\x100\xb3\xdaj|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x002005f8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\x0b \x00\xf8\x05 \x00\x00\x0c \x00\x00\x06 \x00\x08\x0c \x00\x08\x06 \x00\x00\x00Fg\x88\xc9Jg\x00\x00\x06\x00p\x00r\x00x\x07 \x00\x14\x00\x16\x00\xd4\x07 \x00\x04@\x0c\x80\x01\x00\x00\x000\xa6,w\xd4\xf4\x1f\x006\xda\xa1K\x00\x00\x00\x00\x00\x00\x00\x00H\x08 \x00H\x08 \x00P\x08 \x00P\x08 \x00P\xa6#\x008\xa6#\x00\xc8\xc1$w\x00\x00\x81y0\xb3\xdaj|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x002007f8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\x0c \x00\xf8\x07 \x00\x80\x0c \x00\x00\x08 \x00\x88\x0c \x00\x08\x08 \x00\x00\x00\xe3c\x00\x00\x00\x00\x00\x80\x89\x00\xc8\x00\xca\x00p\xd9$\x00\x1a\x00\x1c\x00\x1e\xda$\x00\x04@\x00\x80\x01\x00\x00\x00 \xa6,w4\xfe\x1f\x00\xf4\xdf\xa1K\x00\x00\x00\x00\x00\x00\x00\x00H\x0c \x00H\x0c \x00P\x0c \x00P\x0c \x00X\x0c \x00X\x0c \x00\xc8\xc1$w\x00\x00\x82z\x90\xc1\xddj|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200bf8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\x0c \x00\xf8\x0b \x00\x00
\x00\x00\x0c \x00\x08
\x00\x08\x0c \x00\x00\x00wc\x00\x00\x00\x00\x00`k\x00\xdc\x00\xde\x008\xf2$\x00$\x00&\x00\xf0\xf2$\x00\x04@\x00\x80\x01\x00\x00\x00h\xa6,w4\x02 \x00\xee\xdf\xa1K\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x0c \x00\xc8\x0c \x00\xd0\x0c \x00\xd0\x0c \x00\xd8\x0c \x00\xd8\x0c \x00\xc8\xc1$w\x00\x00\xe5`\xc0H\xdfj|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200c78 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x
\x00x\x0c \x00\x80
\x00\x80\x0c \x00\x08\x0e \x00\x88\x0c \x00\x00\x00\xedtt5\xedt\x00p\x01\x00<\x00>\x00\x88w \x00\x14\x00\x16\x00\xb0w \x00\x04@\x0c\x80\x01\x00\x00\x00\xd0\xa5,w\xd0\xa5,w\x86\xd9[J\x00\x00\x00\x00\x00\x00\x00\x00H
\x00H
\x00P
\x00P
\x00\x00\xfa$\x00H\xfa$\x00\xe4\xc1$w\x00\x00\x80m\xc0H\xdfj|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200cf8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8
\x00\xf8\x0c \x00\x00\x0e \x00\x00
\x00\x08\x0f \x00\x08\x0e \x00\x00\x00Uq\xd0\x11Uq\x00P\x00\x00@\x00B\x00\x18R!\x00\x18\x00\x1a\x00@R!\x00\x04@\x0c\x80\x01\x00\x00\x004\x0f \x00\xb4\x01 \x00\x02\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00\xc8
\x00\xc8
\x00\xd0
\x00\xd0
\x00h\xfb$\x008\xfb$\x00\xe4\xc1$w\x00\x00\xf5?\xc0H\xdfj|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200d78 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \xf8\x0e \x00x
\x00\x00\x0f \x00\x80
\x00\x88
\x00\x08
\x00\x00\x00juZ\xd4qu\x00\x90\xc4\x00>\x00@\x00@w \x00\x16\x00\x18\x00hw \x00\x04@\x0c\x80\x01\x00\x00\x00\xb4\x0f \x00\xac\xf2\x1f\x00\x01\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00H\x0e \x00H\x0e \x00P\x0e \x00P\x0e \x00 \xfb$\x00\x90\xfa$\x00\xe4\xc1$w\x00\x00\x80s\xc0H\xdfj|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200df8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => x\x0f \x00\xf8
\x00\x80\x0f \x00\x00\x0e \x00\x88\x0f \x00\x88
\x00\x00\x00"u\xcd,"u\x00\xa0\x01\x00>\x00@\x00\x18x \x00\x16\x00\x18\x00@x \x00\x04@\x0c\x80\x01\x00\x00\x00\xb8\xa6,w\xb4
\x00<\xdb[J\x00\x00\x00\x00\x00\x00\x00\x00H\x0f \x00H\x0f \x00P\x0f \x00P\x0f \x00\xf8\xfb$\x00\x98\xfb$\x00\xe4\xc1$w\x00\x00"\x02\xf0\xcf\xe0j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200ef8 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x8cx,w\xf8\x0e \x00\x94x,w\x00\x0f \x00\x9cx,w\x08\x0f \x00\x00\x00\x87v8\x14\x87v\x00P\x00\x00:\x00<\x00\xc8p \x00\x12\x00\x14\x00\xf0p \x00\x04@\x0c\x80\x01\x00\x00\x00\x88\xa6,w4\x0e \x00\xce\xda[J\x00\x00\x00\x00\x00\x00\x00\x00\xc8\x0f \x00\xc8\x0f \x00\xd0\x0f \x00\xd0\x0f \x00\x88\xfc$\x00\x88\xfc$\x00\xe4\xc1$w\x00\x00\xaa}\xf0\xcf\xe0j|g\xd0\x01 ProcessHandle => 0x0000022c BaseAddress => 0x00200f78 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleInformation FunctionAddress => 0x76871420 ModuleHandle => 0x76870000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleInformationW FunctionAddress => 0x0018e8a1 ModuleHandle => 0x76870000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x0000022c BaseAddress => 0x7ffd700c |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x08\x19\x1f\x00 ProcessHandle => 0x0000022c BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x80\x19\x1f\x00\x8cx,w\x88\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb8\x00N\xa1\xd3\x00\x00\x80\x1c\x00d\x00f\x00\x18\x17\x1f\x00\x16\x00\x18\x00f\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xf0\xa5,w\xf0\xa5,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00P\x19\x1f\x00P\x19\x1f\x00X\x19\x1f\x00X\x19\x1f\x00(\xe3\x1f\x00(\xe3\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x0000022c BaseAddress => 0x001f1900 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleBaseName FunctionAddress => 0x64034c79 ModuleHandle => 0x76870000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleBaseNameW FunctionAddress => 0x7687152c ModuleHandle => 0x76870000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x0000022c BaseAddress => 0x7ffd700c |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x08\x19\x1f\x00 ProcessHandle => 0x0000022c BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x80\x19\x1f\x00\x8cx,w\x88\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb8\x00N\xa1\xd3\x00\x00\x80\x1c\x00d\x00f\x00\x18\x17\x1f\x00\x16\x00\x18\x00f\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xf0\xa5,w\xf0\xa5,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00P\x19\x1f\x00P\x19\x1f\x00X\x19\x1f\x00X\x19\x1f\x00(\xe3\x1f\x00(\xe3\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x0000022c BaseAddress => 0x001f1900 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => s\x00v\x00c\x00h\x00o\x00s\x00t\x00.\x00e\x00x\x00e\x00\x00\x00 ProcessHandle => 0x0000022c BaseAddress => 0x001f1766 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleFileNameEx FunctionAddress => 0x64034c8b ModuleHandle => 0x76870000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetModuleFileNameExW FunctionAddress => 0x768713f0 ModuleHandle => 0x76870000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0x0000022c BaseAddress => 0x7ffd700c |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x08\x19\x1f\x00 ProcessHandle => 0x0000022c BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => \x80\x19\x1f\x00\x8cx,w\x88\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb8\x00N\xa1\xd3\x00\x00\x80\x1c\x00d\x00f\x00\x18\x17\x1f\x00\x16\x00\x18\x00f\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xf0\xa5,w\xf0\xa5,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00P\x19\x1f\x00P\x19\x1f\x00X\x19\x1f\x00X\x19\x1f\x00(\xe3\x1f\x00(\xe3\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0x0000022c BaseAddress => 0x001f1900 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | NtReadVirtualMemory |
Buffer => C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00R\x00o\x00a\x00m\x00i\x00n\x00g\x00\\x00s\x00v\x00c\x00h\x00o\x00s\x00t\x00.\x00e\x00x\x00e\x00\x00\x00 ProcessHandle => 0x0000022c BaseAddress => 0x001f1718 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetErrorMode FunctionAddress => 0x767e1297 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileAttributesEx FunctionAddress => 0x649fad89 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileAttributesExW FunctionAddress => 0x767d5f4d ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetErrorMode FunctionAddress => 0x767e1297 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegCloseKey FunctionAddress => 0x7656bed4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyEx FunctionAddress => 0x649fadcc ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyExW FunctionAddress => 0x7656bec4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegOpenKeyExW |
Handle => 0x0000022c Registry => 0x80000001 SubKey => SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueEx FunctionAddress => 0x649fad62 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueExW FunctionAddress => 0x7656bcd5 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegQueryValueExW |
Handle => 0x0000022c DataLength => 0 ValueName => Realtek Difference audio Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegSetValueEx FunctionAddress => 0x649faed1 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegSetValueExW FunctionAddress => 0x76561c82 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegSetValueExW |
Handle => 0x0000022c Buffer => "\x00C\x00:\x00\\x00U\x00s\x00e\x00r\x00s\x00\\x00A\x00d\x00m\x00i\x00n\x00i\x00s\x00t\x00r\x00a\x00t\x00o\x00r\x00\\x00A\x00p\x00p\x00D\x00a\x00t\x00a\x00\\x00R\x00o\x00a\x00m\x00i\x00n\x00g\x00\\x00s\x00v\x00c\x00h\x00o\x00s\x00t\x00.\x00e\x00x\x00e\x00"\x00\x00\x00 ValueName => Realtek Difference audio Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegOpenKeyExW |
Handle => 0x00000230 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegQueryValueExW |
Handle => 0x00000230 DataLength => 4 ValueName => Hidden Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegSetValueEx FunctionAddress => 0x649faed1 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:06,047 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegSetValueExW FunctionAddress => 0x76561c82 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegSetValueExW |
Handle => 0x00000230 Buffer => 2 ValueName => Hidden Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegOpenKeyExW |
Handle => 0x00000234 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegQueryValueExW |
Handle => 0x00000234 DataLength => 0 ValueName => EnableBalloonTips Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,047 | 2772 | RegSetValueExW |
Handle => 0x00000234 Buffer => 0 ValueName => EnableBalloonTips Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Windows\CurrentVersion\Policies\System |
FAILURE | 0x00000002 | |
| 23:22:06,047 | 2772 | RegOpenKeyExW |
Handle => 0x00000238 Registry => 0x80000002 SubKey => Software\Microsoft\Windows\CurrentVersion\Policies\System |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegQueryValueExW |
Handle => 0x00000238 DataLength => 4 ValueName => EnableLUA Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,047 | 2772 | RegSetValueExW |
Handle => 0x00000238 Buffer => 0 ValueName => EnableLUA Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Management__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Management__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x0000023c Registry => 0x000001bc SubKey => NI\5a8de2c3\1dfa8c62 |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegEnumKeyExW |
Index => 0 Handle => 0x0000023c Name => 5e Class => |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegEnumKeyExW |
Index => 1 Handle => 0x0000023c Name => 5e Class => |
FAILURE | 0x00000103 | |
| 23:22:06,057 | 2772 | RegCloseKey |
Handle => 0x0000023c |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x0000023c Registry => 0x000001bc SubKey => NI\5a8de2c3\1dfa8c62\5e |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00M\x00a\x00n\x00a\x00g\x00e\x00m\x00e\x00n\x00t\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegCloseKey |
Handle => 0x0000023c |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x0000023c Registry => 0x000001bc SubKey => NI\5a8de2c3\1dfa8c62\5e |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => NIDependencies |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegCloseKey |
Handle => 0x0000023c |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x0000023c Registry => 0x000001bc SubKey => IL\ecd2583\5d7d83cc\4b |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00C\x00o\x00n\x00f\x00i\x00g\x00u\x00r\x00a\x00t\x00i\x00o\x00n\x00.\x00I\x00n\x00s\x00t\x00a\x00l\x00l\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegCloseKey |
Handle => 0x0000023c |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x0000023c Registry => 0x000001bc SubKey => IL\2f66e4ee\400ce7c1\67 |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00J\x00S\x00c\x00r\x00i\x00p\x00t\x00,\x001\x000\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegCloseKey |
Handle => 0x0000023c |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x0000023c Registry => 0x000001bc SubKey => IL\1dfa8c62\5766bfaf\3f |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00M\x00a\x00n\x00a\x00g\x00e\x00m\x00e\x00n\x00t\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x0000023c Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegCloseKey |
Handle => 0x0000023c |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Management__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Management__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Management,4.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Configuration.Install__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Configuration.Install__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Configuration.Install__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Configuration.Install__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Configuration.Install,4.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.10.0.Microsoft.JScript__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.10.0.Microsoft.JScript__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.10.0.Microsoft.JScript__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.10.0.Microsoft.JScript__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:06,057 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => Microsoft.JScript,10.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:06,127 | 2772 | LdrLoadDll |
Flags => 1622844 BaseAddress => 0x66620000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Management\6a6f4be744ed5bc5273cbcf0fcf303e3\System.Management.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,137 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System.Management\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Management.INI |
SUCCESS | 0xffffffff | |
| 23:22:06,157 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateEvent FunctionAddress => 0x649fb051 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:06,157 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateEventW FunctionAddress => 0x767e0613 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,157 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetObjectContext FunctionAddress => 0x77005e0c ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrLoadDll |
Flags => 1627880 BaseAddress => 0x771d0000 FileName => API-MS-Win-Security-LSALookup-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LookupAccountNameLocalW FunctionAddress => 0x771e0270 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x00000250 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000252 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => AppID\svchost.exe |
FAILURE | 0xc0000034 | |
| 23:22:06,167 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Classes\AppID\svchost.exe |
FAILURE | 0xc0000034 | |
| 23:22:06,167 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000250 ObjectAttributes => Software\Microsoft\OLE\AppCompat |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000250 ValueName => RaiseDefaultAuthnLevel |
FAILURE | 0xc0000034 | |
| 23:22:06,167 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000250 ObjectAttributes => SOFTWARE\Microsoft\OLE |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000250 ValueName => DefaultAccessPermission |
FAILURE | 0xc0000034 | |
| 23:22:06,167 | 2772 | LdrLoadDll |
Flags => 1629460 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LookupAccountSidW FunctionAddress => 0x7656bd2b ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrLoadDll |
Flags => 1629428 BaseAddress => 0x771d0000 FileName => API-MS-Win-Security-LSALookup-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LookupAccountSidLocalW FunctionAddress => 0x771e05da ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | DeviceIoControl |
DeviceHandle => 0x000001b4 OutBuffer => s\xae\xedh\xfd\x80@\x7f\x9a\x89\xb3\xff\xe66I\xa0\x14V\xd0\xeb\xb5\xd7)\xd9\xbbV\x86g\xf3\x16q\xf1+C\x83\x8cY\xf5F\xed\x80\xb1\x1a\xf17\x80\xd0" IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:06,167 | 2772 | LdrLoadDll |
Flags => 1629968 BaseAddress => 0x74dc0000 FileName => CRYPTSP.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptAcquireContextW FunctionAddress => 0x74dc63e8 ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000254 ObjectAttributes => SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000254 ValueName => Type Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00r\x00s\x00a\x00e\x00n\x00h\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000254 ValueName => Image Path Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:06,167 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x00000300 FileName => C:\Windows\system32\rsaenh.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:06,167 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x7720d74d FileName => C:\Windows\system32\rsaenh.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:06,167 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000018 ValueName => SafeProcessSearchMode |
FAILURE | 0xc0000034 | |
| 23:22:06,167 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\system32\rsaenh.dll DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000258 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtQueryInformationFile |
FileHandle => 0x00000258 FileInformation => \x00\xc0\x03\x00\x00\x00\x00\x00\xf8\xb4\x03\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x0000025c FileHandle => 0x00000258 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018daa4 SectionHandle => 0x0000025c ProcessHandle => 0xffffffff BaseAddress => 0x005c0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2840 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2840 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2840 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2840 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2840 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2840 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2840 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2840 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:06,167 | 2772 | LdrLoadDll |
Flags => 1629768 BaseAddress => 0x74b60000 FileName => C:\Windows\system32\rsaenh.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPAcquireContext FunctionAddress => 0x74b646b8 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPReleaseContext FunctionAddress => 0x74b65a18 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGenKey FunctionAddress => 0x74b6b4f5 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDeriveKey FunctionAddress => 0x74b88201 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDestroyKey FunctionAddress => 0x74b677fc ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetKeyParam FunctionAddress => 0x74b74c92 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetKeyParam FunctionAddress => 0x74b74d62 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPExportKey FunctionAddress => 0x74b67e48 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPImportKey FunctionAddress => 0x74b6793b ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPEncrypt FunctionAddress => 0x74b74bb5 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDecrypt FunctionAddress => 0x74b856eb ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPCreateHash FunctionAddress => 0x74b65d47 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPHashData FunctionAddress => 0x74b65e99 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPHashSessionKey FunctionAddress => 0x74b85e02 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDestroyHash FunctionAddress => 0x74b65f99 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSignHash FunctionAddress => 0x74b6a639 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPVerifySignature FunctionAddress => 0x74b68ec6 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGenRandom FunctionAddress => 0x74b64423 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetUserKey FunctionAddress => 0x74b6afa0 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,167 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetProvParam FunctionAddress => 0x74b86d34 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetProvParam FunctionAddress => 0x74b86eac ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetHashParam FunctionAddress => 0x74b69d67 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetHashParam FunctionAddress => 0x74b66066 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDuplicateKey FunctionAddress => 0x74b87545 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDuplicateHash FunctionAddress => 0x74b8624f ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 131353 KeyHandle => 0x0000025c ObjectAttributes => Software\Policies\Microsoft\Cryptography |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000025c ValueName => PrivKeyCacheMaxItems |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000025c ValueName => PrivKeyCachePurgeIntervalSeconds |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000025c ValueName => PrivateKeyLifetimeSeconds |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 131353 KeyHandle => 0x0000025c ObjectAttributes => Software\Microsoft\Cryptography |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtQueryValueKey |
Information => 1\x008\x00a\x00b\x003\x005\x003\x002\x00-\x006\x00c\x004\x00d\x00-\x004\x005\x00c\x007\x00-\x008\x00e\x009\x00a\x00-\x007\x001\x00f\x00a\x00e\x00d\x00c\x001\x005\x003\x005\x008\x00\x00\x00 KeyHandle => 0x0000025c ValueName => MachineGuid Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Cryptography\Offload |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | LdrLoadDll |
Flags => 1628444 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenThreadToken FunctionAddress => 0x7656b79c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTokenInformation FunctionAddress => 0x7656b7b4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AllocateAndInitializeSid FunctionAddress => 0x7656b7dc ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EqualSid FunctionAddress => 0x7656b633 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FreeSid FunctionAddress => 0x7656b7f4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrLoadDll |
Flags => 1629200 BaseAddress => 0x75290000 FileName => CRYPTBASE.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SystemFunction036 FunctionAddress => 0x752912f0 ModuleHandle => 0x75290000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | DeviceIoControl |
DeviceHandle => 0x000001b4 OutBuffer => \xee\x84\x12 \xf4\xf7\xebkN\xa8\xfe\xa7\x82\xbcZT\xd6\x1b\x9b\xcbC\xce\xf2\xdf\xb3\xc9Y]\xdf\xe4\xb5\x0e\xcd\xc1\x98\x81\xf8\xecb\xf7\x1f\xec \xb6R\x17u\x90 IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGenRandom FunctionAddress => 0x74dc4f73 ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x0000025c ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000025e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Interface\{00000134-0000-0000-C000-000000000046} |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000254 ObjectAttributes => \Registry\Machine\Software\Classes\Interface\{00000134-0000-0000-C000-000000000046} |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x00000256 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x000\x000\x000\x000\x000\x001\x003\x004\x00-\x000\x000\x000\x000\x00-\x000\x000\x000\x000\x00-\x00C\x000\x000\x000\x00-\x000\x000\x000\x000\x000\x000\x000\x000\x000\x000\x004\x006\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{00000134-0000-0000-C000-000000000046}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000025c ObjectAttributes => ProxyStubClsid32 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000025e KeyInformation => \xef\xff\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x000\x000\x000\x000\x000\x001\x003\x004\x00-\x000\x000\x000\x000\x00-\x000\x000\x000\x000\x00-\x00C\x000\x000\x000\x00-\x000\x000\x000\x000\x000\x000\x000\x000\x000\x000\x004\x006\x00}\x00\\x00P\x00r\x00o\x00x\x00y\x00S\x00t\x00u\x00b\x00C\x00l\x00s\x00i\x00d\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{00000134-0000-0000-C000-000000000046}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | NtQueryValueKey |
Information => {\x000\x000\x000\x000\x000\x003\x002\x000\x00-\x000\x000\x000\x000\x00-\x000\x000\x000\x000\x00-\x00C\x000\x000\x000\x00-\x000\x000\x000\x000\x000\x000\x000\x000\x000\x000\x004\x006\x00}\x00\x00\x00 KeyHandle => 0x0000025e ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000254 ObjectAttributes => \REGISTRY\MACHINE\Software\Microsoft\Rpc\Extensions |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtQueryValueKey |
Information => O\x00l\x00e\x003\x002\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000254 ValueName => NdrOleExtDLL Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76fc0000 FileName => Ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NdrOleInitializeExtension FunctionAddress => 0x76ff3c61 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetClassObject FunctionAddress => 0x76ffa2d4 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetMarshalSizeMax FunctionAddress => 0x76ff8d60 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoMarshalInterface FunctionAddress => 0x76ff8b06 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoUnmarshalInterface FunctionAddress => 0x76ff527b ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => StringFromIID FunctionAddress => 0x76fd336b ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetPSClsid FunctionAddress => 0x76fe3a7f ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemAlloc FunctionAddress => 0x77014054 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemFree FunctionAddress => 0x77014003 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoCreateInstance FunctionAddress => 0x770157fc ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoReleaseMarshalData FunctionAddress => 0x76fdbf18 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DcomChannelSetHResult FunctionAddress => 0x7701224a ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000254 ObjectAttributes => Software\Microsoft\Rpc\Extensions |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtQueryValueKey |
Information => R\x00p\x00c\x00R\x00t\x00R\x00e\x00m\x00o\x00t\x00e\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x00000254 ValueName => RemoteRpcDll Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrLoadDll |
Flags => 1629248 BaseAddress => 0x75330000 FileName => RpcRtRemote.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => I_RpcExtInitializeExtensionPoint FunctionAddress => 0x75331b08 ModuleHandle => 0x75330000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000254 ObjectAttributes => SYSTEM\CurrentControlSet\Services\BFE |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\SQMClient\Windows\DisabledProcesses\ |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\SQMClient\Windows\DisabledSessions\ |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\SQMClient\Windows\DisabledSessions\ |
FAILURE | 0xc0000034 | |
| 23:22:06,177 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | CreateThread |
ThreadId => 2856 StartRoutine => 0x76fec7f5 Parameter => 0x00262b88 CreationFlags => 0 |
SUCCESS | 0x00000270 | |
| 23:22:06,177 | 2904 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2904 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2904 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2904 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2904 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2904 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2904 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2904 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 2 times |
| 23:22:06,177 | 2856 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2856 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2856 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2856 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2856 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2856 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2856 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LoadLibrary FunctionAddress => 0x667061f0 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LoadLibraryA FunctionAddress => 0x767e2864 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WideCharToMultiByte FunctionAddress => 0x767e0f86 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,177 | 2856 | NtDelayExecution |
Milliseconds => 60000 |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrLoadDll |
Flags => 1627044 BaseAddress => 0x6c320000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\\wminet_utils.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetProcAddress FunctionAddress => 0x767e1837 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ResetSecurity FunctionAddress => 0x6c321707 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetSecurity FunctionAddress => 0x6c32174b ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => BlessIWbemServices FunctionAddress => 0x6c321793 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => BlessIWbemServicesObject FunctionAddress => 0x6c3217e7 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetPropertyHandle FunctionAddress => 0x6c32183b ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WritePropertyValue FunctionAddress => 0x6c321856 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,187 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => Clone FunctionAddress => 0x6c321871 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => VerifyClientKey FunctionAddress => 0x6c32206e ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetQualifierSet FunctionAddress => 0x6c321979 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => Get FunctionAddress => 0x6c32198e ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => Put FunctionAddress => 0x6c32195b ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => Delete FunctionAddress => 0x6c3219af ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetNames FunctionAddress => 0x6c3219c4 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => BeginEnumeration FunctionAddress => 0x6c3219e2 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => Next FunctionAddress => 0x6c3219f7 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EndEnumeration FunctionAddress => 0x6c321a18 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetPropertyQualifierSet FunctionAddress => 0x6c321a2a ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => Clone FunctionAddress => 0x6c321871 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetObjectText FunctionAddress => 0x6c321a42 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SpawnDerivedClass FunctionAddress => 0x6c321a5a ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SpawnInstance FunctionAddress => 0x6c321a72 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CompareTo FunctionAddress => 0x6c321a8a ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetPropertyOrigin FunctionAddress => 0x6c321aa2 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InheritsFrom FunctionAddress => 0x6c321aba ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetMethod FunctionAddress => 0x6c321acf ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PutMethod FunctionAddress => 0x6c321aed ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DeleteMethod FunctionAddress => 0x6c321b0b ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => BeginMethodEnumeration FunctionAddress => 0x6c321b20 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NextMethod FunctionAddress => 0x6c321b35 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EndMethodEnumeration FunctionAddress => 0x6c321b53 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetMethodQualifierSet FunctionAddress => 0x6c321b65 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetMethodOrigin FunctionAddress => 0x6c321b7d ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QualifierSet_Get FunctionAddress => 0x6c321b95 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QualifierSet_Put FunctionAddress => 0x6c321bb3 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QualifierSet_Delete FunctionAddress => 0x6c321bce ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QualifierSet_GetNames FunctionAddress => 0x6c321be3 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QualifierSet_BeginEnumeration FunctionAddress => 0x6c321bfb ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QualifierSet_Next FunctionAddress => 0x6c321c10 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,197 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QualifierSet_EndEnumeration FunctionAddress => 0x6c321c2e ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentApartmentType FunctionAddress => 0x6c321979 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetDemultiplexedStub FunctionAddress => 0x6c3216be ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateInstanceEnumWmi FunctionAddress => 0x6c3222af ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateClassEnumWmi FunctionAddress => 0x6c322327 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ExecQueryWmi FunctionAddress => 0x6c32239f ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00490000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ExecNotificationQueryWmi FunctionAddress => 0x6c32241a ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PutInstanceWmi FunctionAddress => 0x6c322495 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PutClassWmi FunctionAddress => 0x6c3215cd ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CloneEnumWbemClassObject FunctionAddress => 0x6c32164f ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ConnectServerWmi FunctionAddress => 0x6c322517 ModuleHandle => 0x6c320000 |
SUCCESS | 0x00000000 | |
| 23:22:06,207 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00490000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LCMapStringEx FunctionAddress => 0x7681f763 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => IIDFromString FunctionAddress => 0x76fd20f2 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | RegOpenKeyExW |
Handle => 0x0000028a Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | RegQueryValueExW |
Handle => 0x0000028a DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | RegCloseKey |
Handle => 0x0000028a |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetClassObject FunctionAddress => 0x76ffa2d4 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CLSIDFromOle1Class FunctionAddress => 0x76fe529c ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x0000028c ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\__ComCatalogCache__ SectionHandle => 0x00000288 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018d6c8 SectionHandle => 0x00000288 ProcessHandle => 0xffffffff BaseAddress => 0x00490000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 131353 KeyHandle => 0x00000290 ObjectAttributes => Software\Microsoft\COM3 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000290 ValueName => Com+Enabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrLoadDll |
Flags => 1627736 BaseAddress => 0x77340000 FileName => CLBCatQ.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCatalogObject FunctionAddress => 0x77342ea4 ModuleHandle => 0x77340000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCatalogObject2 FunctionAddress => 0x773436b6 ModuleHandle => 0x77340000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\__ComCatalogCache__ SectionHandle => 0x00000294 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018d4f4 SectionHandle => 0x00000294 ProcessHandle => 0xffffffff BaseAddress => 0x005c0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000028e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryValueKey |
Information => W\x00b\x00e\x00m\x00D\x00e\x00f\x00a\x00u\x00l\x00t\x00P\x00a\x00t\x00h\x00P\x00a\x00r\x00s\x00e\x00r\x00\x00\x00 KeyHandle => 0x0000029a ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryValueKey |
Information => W\x00b\x00e\x00m\x00D\x00e\x00f\x00a\x00u\x00l\x00t\x00P\x00a\x00t\x00h\x00P\x00a\x00r\x00s\x00e\x00r\x00\x00\x00 KeyHandle => 0x0000029a ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000029c ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000029e ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00m\x00i\x00u\x00t\x00i\x00l\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x0000029e ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00m\x00i\x00u\x00t\x00i\x00l\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x0000029e ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00m\x00i\x00u\x00t\x00i\x00l\x00s\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x0000029e ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x0000029e ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,217 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,217 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => Software\Microsoft\OLE |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000298 ValueName => MaxSxSHashCount |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x0000029c ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000298 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA} |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000029a KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00C\x00F\x004\x00C\x00C\x004\x000\x005\x00-\x00E\x002\x00C\x005\x00-\x004\x00D\x00D\x00D\x00-\x00B\x003\x00C\x00E\x00-\x005\x00E\x007\x005\x008\x002\x00D\x008\x00C\x009\x00F\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | LdrLoadDll |
Flags => 1624316 BaseAddress => 0x719a0000 FileName => C:\Windows\system32\wbem\wmiutils.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllGetClassObject FunctionAddress => 0x719a1761 ModuleHandle => 0x719a0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllCanUnloadNow FunctionAddress => 0x719a1205 ModuleHandle => 0x719a0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrLoadDll |
Flags => 1628596 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoCreateFreeThreadedMarshaler FunctionAddress => 0x76fde412 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76fc0000 FileName => OLE32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetObjectContext FunctionAddress => 0x77005e0c ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrLoadDll |
Flags => 1633396 BaseAddress => 0x76f30000 FileName => OLEAUT32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 2 FunctionName => FunctionAddress => 0x76f34642 ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 6 FunctionName => FunctionAddress => 0x76f33e59 ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | RegOpenKeyExW |
Handle => 0x000002aa Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | RegQueryValueExW |
Handle => 0x000002aa DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | RegCloseKey |
Handle => 0x000002aa |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000028e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24} |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002a8 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24} |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24} |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => W\x00B\x00E\x00M\x00 \x00L\x00o\x00c\x00a\x00t\x00o\x00r\x00\x00\x00 KeyHandle => 0x000002aa ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24} |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => W\x00B\x00E\x00M\x00 \x00L\x00o\x00c\x00a\x00t\x00o\x00r\x00\x00\x00 KeyHandle => 0x000002aa ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002ac ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
KeyHandle => 0x000002ae ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00b\x00e\x00m\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002ae ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00b\x00e\x00m\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002ae ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00b\x00e\x00m\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002ae ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ae KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x000002ae ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002ac ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ae KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24} |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002a8 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24} |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002aa KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x004\x005\x009\x000\x00F\x008\x001\x001\x00-\x001\x00D\x003\x00A\x00-\x001\x001\x00D\x000\x00-\x008\x009\x001\x00F\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | LdrLoadDll |
Flags => 1628108 BaseAddress => 0x71ba0000 FileName => C:\Windows\system32\wbem\wbemprox.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllGetClassObject FunctionAddress => 0x71ba26d0 ModuleHandle => 0x71ba0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllCanUnloadNow FunctionAddress => 0x71ba1212 ModuleHandle => 0x71ba0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01c8ec8f FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:06,227 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000002b0 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000002b0 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000002b0 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | CreateThread |
ThreadId => 1848 StartRoutine => 0x71ba2f1a Parameter => 0x0018ead0 CreationFlags => 0 |
SUCCESS | 0x000002b4 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000028e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820} |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002b8 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820} |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x008\x00B\x00C\x003\x00F\x000\x005\x00E\x00-\x00D\x008\x006\x00B\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x008\x00B\x00C\x003\x00F\x000\x005\x00E\x00-\x00D\x008\x006\x00B\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x008\x00B\x00C\x003\x00F\x000\x005\x00E\x00-\x00D\x008\x006\x00B\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x008\x00B\x00C\x003\x00F\x000\x005\x00E\x00-\x00D\x008\x006\x00B\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820} |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => W\x00i\x00n\x00d\x00o\x00w\x00s\x00 \x00M\x00a\x00n\x00a\x00g\x00e\x00m\x00e\x00n\x00t\x00 \x00a\x00n\x00d\x00 \x00I\x00n\x00s\x00t\x00r\x00u\x00m\x00e\x00n\x00t\x00a\x00t\x00i\x00o\x00n\x00\x00\x00 KeyHandle => 0x000002ba ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x008\x00B\x00C\x003\x00F\x000\x005\x00E\x00-\x00D\x008\x006\x00B\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820} |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryValueKey |
Information => W\x00i\x00n\x00d\x00o\x00w\x00s\x00 \x00M\x00a\x00n\x00a\x00g\x00e\x00m\x00e\x00n\x00t\x00 \x00a\x00n\x00d\x00 \x00I\x00n\x00s\x00t\x00r\x00u\x00m\x00e\x00n\x00t\x00a\x00t\x00i\x00o\x00n\x00\x00\x00 KeyHandle => 0x000002ba ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x008\x00B\x00C\x003\x00F\x000\x005\x00E\x00-\x00D\x008\x006\x00B\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x008\x00B\x00C\x003\x00F\x000\x005\x00E\x00-\x00D\x008\x006\x00B\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ba KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x008\x00B\x00C\x003\x00F\x000\x005\x00E\x00-\x00D\x008\x006\x00B\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{8BC3F05E-D86B-11D0-A075-00C04FB68820}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,227 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetMarshalSizeMax FunctionAddress => 0x76ff8d60 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoMarshalInterface FunctionAddress => 0x76ff8b06 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoUnmarshalInterface FunctionAddress => 0x76ff527b ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoReleaseMarshalData FunctionAddress => 0x76fdbf18 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 2772 | DeviceIoControl |
DeviceHandle => 0x000001b4 OutBuffer => \xca\xce\x95&"nis}\x82\x08'\xdfC\xe3\xb6\xe4\xd7\xd2d\x16R\xcc\xb5\xddw\xbf)\xe7`I\x19\x9d\xb8O\xa0\xf7\x95\x1b\xa4@\x9bq,\xe0\xdd\xb7\x11 IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:06,227 | 1848 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 1848 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 1848 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 1848 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 1848 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 1848 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 1848 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,227 | 1848 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetClassObject FunctionAddress => 0x76ffa2d4 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetMarshalSizeMax FunctionAddress => 0x76ff8d60 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoMarshalInterface FunctionAddress => 0x76ff8b06 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoUnmarshalInterface FunctionAddress => 0x76ff527b ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => StringFromIID FunctionAddress => 0x76fd336b ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoGetPSClsid FunctionAddress => 0x76fe3a7f ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemAlloc FunctionAddress => 0x77014054 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemFree FunctionAddress => 0x77014003 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoCreateInstance FunctionAddress => 0x770157fc ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoReleaseMarshalData FunctionAddress => 0x76fdbf18 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DcomChannelSetHResult FunctionAddress => 0x7701224a ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => Software\Microsoft\Ole |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
KeyHandle => 0x000002cc ValueName => MaximumAllowedAllocationSize |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002d0 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Interface\{F309AD18-D86A-11D0-A075-00C04FB68820} |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => \Registry\Machine\Software\Classes\Interface\{F309AD18-D86A-11D0-A075-00C04FB68820} |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x00F\x003\x000\x009\x00A\x00D\x001\x008\x00-\x00D\x008\x006\x00A\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{F309AD18-D86A-11D0-A075-00C04FB68820}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => ProxyStubClsid32 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xff\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x00F\x003\x000\x009\x00A\x00D\x001\x008\x00-\x00D\x008\x006\x00A\x00-\x001\x001\x00D\x000\x00-\x00A\x000\x007\x005\x00-\x000\x000\x00C\x000\x004\x00F\x00B\x006\x008\x008\x002\x000\x00}\x00\\x00P\x00r\x00o\x00x\x00y\x00S\x00t\x00u\x00b\x00C\x00l\x00s\x00i\x00d\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{F309AD18-D86A-11D0-A075-00C04FB68820}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
Information => {\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00 KeyHandle => 0x000002d2 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000028e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
Information => P\x00S\x00F\x00a\x00c\x00t\x00o\x00r\x00y\x00B\x00u\x00f\x00f\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002ce ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
Information => P\x00S\x00F\x00a\x00c\x00t\x00o\x00r\x00y\x00B\x00u\x00f\x00f\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002ce ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
KeyHandle => 0x000002d2 ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00b\x00e\x00m\x00s\x00v\x00c\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002d2 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00b\x00e\x00m\x00s\x00v\x00c\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002d2 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00w\x00b\x00e\x00m\x00s\x00v\x00c\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002d2 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\\x00I\x00n\x00P\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InProcServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x000002d2 ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002d0 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | LdrLoadDll |
Flags => 1629044 BaseAddress => 0x71a50000 FileName => C:\Windows\system32\wbem\wbemsvc.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllGetClassObject FunctionAddress => 0x71a58d10 ModuleHandle => 0x71a50000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllCanUnloadNow FunctionAddress => 0x71a523f5 ModuleHandle => 0x71a50000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 1848 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002cc ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Interface\{D4781CD6-E5D3-44DF-AD94-930EFE48A887} |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \Registry\Machine\Software\Classes\Interface\{D4781CD6-E5D3-44DF-AD94-930EFE48A887} |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x00D\x004\x007\x008\x001\x00C\x00D\x006\x00-\x00E\x005\x00D\x003\x00-\x004\x004\x00D\x00F\x00-\x00A\x00D\x009\x004\x00-\x009\x003\x000\x00E\x00F\x00E\x004\x008\x00A\x008\x008\x007\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{D4781CD6-E5D3-44DF-AD94-930EFE48A887}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => ProxyStubClsid32 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xff\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x00D\x004\x007\x008\x001\x00C\x00D\x006\x00-\x00E\x005\x00D\x003\x00-\x004\x004\x00D\x00F\x00-\x00A\x00D\x009\x004\x00-\x009\x003\x000\x00E\x00F\x00E\x004\x008\x00A\x008\x008\x007\x00}\x00\\x00P\x00r\x00o\x00x\x00y\x00S\x00t\x00u\x00b\x00C\x00l\x00s\x00i\x00d\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{D4781CD6-E5D3-44DF-AD94-930EFE48A887}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
Information => {\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00 KeyHandle => 0x000002ce ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => Kernel32 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetThreadPreferredUILanguages FunctionAddress => 0x767d3e3e ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetThreadPreferredUILanguages FunctionAddress => 0x767d18b6 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LocaleNameToLCID FunctionAddress => 0x767d3d72 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetLocaleInfoEx FunctionAddress => 0x767c754c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LCIDToLocaleName FunctionAddress => 0x767c75de ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetSystemDefaultLocaleName FunctionAddress => 0x767c201a ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Nls\CustomLocale |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => en |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\Nls\ExtendedLocale |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryValueKey |
KeyHandle => 0x000002c0 ValueName => en |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002cc ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Interface\{9556DC99-828C-11CF-A37E-00AA003240C7} |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \Registry\Machine\Software\Classes\Interface\{9556DC99-828C-11CF-A37E-00AA003240C7} |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x009\x005\x005\x006\x00D\x00C\x009\x009\x00-\x008\x002\x008\x00C\x00-\x001\x001\x00C\x00F\x00-\x00A\x003\x007\x00E\x00-\x000\x000\x00A\x00A\x000\x000\x003\x002\x004\x000\x00C\x007\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{9556DC99-828C-11CF-A37E-00AA003240C7}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => ProxyStubClsid32 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xff\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x009\x005\x005\x006\x00D\x00C\x009\x009\x00-\x008\x002\x008\x00C\x00-\x001\x001\x00C\x00F\x00-\x00A\x003\x007\x00E\x00-\x000\x000\x00A\x00A\x000\x000\x003\x002\x004\x000\x00C\x007\x00}\x00\\x00P\x00r\x00o\x00x\x00y\x00S\x00t\x00u\x00b\x00C\x00l\x00s\x00i\x00d\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,237 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{9556DC99-828C-11CF-A37E-00AA003240C7}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
Information => {\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00 KeyHandle => 0x000002ce ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000028e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA} |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA} |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA} |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00W\x00B\x00E\x00M\x00 \x00(\x00n\x00o\x00n\x00)\x00S\x00t\x00a\x00n\x00d\x00a\x00r\x00d\x00 \x00M\x00a\x00r\x00s\x00h\x00a\x00l\x00i\x00n\x00g\x00 \x00f\x00o\x00r\x00 \x00I\x00W\x00b\x00e\x00m\x00S\x00e\x00r\x00v\x00i\x00c\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c2 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA} |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00W\x00B\x00E\x00M\x00 \x00(\x00n\x00o\x00n\x00)\x00S\x00t\x00a\x00n\x00d\x00a\x00r\x00d\x00 \x00M\x00a\x00r\x00s\x00h\x00a\x00l\x00i\x00n\x00g\x00 \x00f\x00o\x00r\x00 \x00I\x00W\x00b\x00e\x00m\x00S\x00e\x00r\x00v\x00i\x00c\x00e\x00s\x00\x00\x00 KeyHandle => 0x000002c2 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002cc ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
KeyHandle => 0x000002ce ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00f\x00a\x00s\x00t\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002ce ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00f\x00a\x00s\x00t\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002ce ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00f\x00a\x00s\x00t\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002ce ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x000002ce ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002cc ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002ce KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA} |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002c0 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA} |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002c2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x00D\x006\x008\x00A\x00F\x000\x000\x00A\x00-\x002\x009\x00C\x00B\x00-\x004\x003\x00F\x00A\x00-\x008\x005\x000\x004\x00-\x00C\x00E\x009\x009\x00A\x009\x009\x006\x00D\x009\x00E\x00A\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{D68AF00A-29CB-43FA-8504-CE99A996D9EA}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | LdrLoadDll |
Flags => 1629960 BaseAddress => 0x71bd0000 FileName => C:\Windows\system32\wbem\fastprox.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllGetClassObject FunctionAddress => 0x71be962d ModuleHandle => 0x71bd0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DllCanUnloadNow FunctionAddress => 0x71be87c9 ModuleHandle => 0x71bd0000 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | LdrLoadDll |
Flags => 1632080 BaseAddress => 0x76f30000 FileName => OLEAUT32.dll |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | LdrGetProcedureAddress |
Ordinal => 283 FunctionName => FunctionAddress => 0x76f373fd ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | LdrGetProcedureAddress |
Ordinal => 284 FunctionName => FunctionAddress => 0x76f3742e ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Interface\{027947E1-D731-11CE-A357-000000000001} |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => \Registry\Machine\Software\Classes\Interface\{027947E1-D731-11CE-A357-000000000001} |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x000\x002\x007\x009\x004\x007\x00E\x001\x00-\x00D\x007\x003\x001\x00-\x001\x001\x00C\x00E\x00-\x00A\x003\x005\x007\x00-\x000\x000\x000\x000\x000\x000\x000\x000\x000\x000\x000\x001\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{027947E1-D731-11CE-A357-000000000001}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => ProxyStubClsid32 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xff\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x000\x002\x007\x009\x004\x007\x00E\x001\x00-\x00D\x007\x003\x001\x00-\x001\x001\x00C\x00E\x00-\x00A\x003\x005\x007\x00-\x000\x000\x000\x000\x000\x000\x000\x000\x000\x000\x000\x001\x00}\x00\\x00P\x00r\x00o\x00x\x00y\x00S\x00t\x00u\x00b\x00C\x00l\x00s\x00i\x00d\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,247 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{027947E1-D731-11CE-A357-000000000001}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,247 | 2772 | NtQueryValueKey |
Information => {\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00 KeyHandle => 0x000002d6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x0000028e KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD} |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD} |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => |
FAILURE | 0xc0000023 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Progid |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD} |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00W\x00B\x00E\x00M\x00 \x00(\x00n\x00o\x00n\x00)\x00S\x00t\x00a\x00n\x00d\x00a\x00r\x00d\x00 \x00M\x00a\x00r\x00s\x00h\x00a\x00l\x00i\x00n\x00g\x00 \x00f\x00o\x00r\x00 \x00I\x00E\x00n\x00u\x00m\x00W\x00b\x00e\x00m\x00C\x00l\x00a\x00s\x00s\x00O\x00b\x00j\x00e\x00c\x00t\x00\x00\x00 KeyHandle => 0x000002d2 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD} |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00W\x00B\x00E\x00M\x00 \x00(\x00n\x00o\x00n\x00)\x00S\x00t\x00a\x00n\x00d\x00a\x00r\x00d\x00 \x00M\x00a\x00r\x00s\x00h\x00a\x00l\x00i\x00n\x00g\x00 \x00f\x00o\x00r\x00 \x00I\x00E\x00n\x00u\x00m\x00W\x00b\x00e\x00m\x00C\x00l\x00a\x00s\x00s\x00O\x00b\x00j\x00e\x00c\x00t\x00\x00\x00 KeyHandle => 0x000002d2 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
KeyHandle => 0x000002d6 ValueName => InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00f\x00a\x00s\x00t\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002d6 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00f\x00a\x00s\x00t\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002d6 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
Information => %\x00s\x00y\x00s\x00t\x00e\x00m\x00r\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00w\x00b\x00e\x00m\x00\\x00f\x00a\x00s\x00t\x00p\x00r\x00o\x00x\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002d6 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\xbc\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\\x00I\x00n\x00p\x00r\x00o\x00c\x00S\x00e\x00r\x00v\x00e\x00r\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\InprocServer32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
Information => B\x00o\x00t\x00h\x00\x00\x00 KeyHandle => 0x000002d6 ValueName => ThreadingModel Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => InprocHandler |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD} |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => \Registry\Machine\Software\Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD} |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\x9e\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00C\x00L\x00S\x00I\x00D\x00\\x00{\x001\x00B\x001\x00C\x00A\x00D\x008\x00C\x00-\x002\x00D\x00A\x00B\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\CLSID\{1B1CAD8C-2DAB-11D2-B604-00104B703EFD}\TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => TreatAs |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Interface\{1C1C45EE-4395-11D2-B60B-00104B703EFD} |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => \Registry\Machine\Software\Classes\Interface\{1C1C45EE-4395-11D2-B60B-00104B703EFD} |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x001\x00C\x001\x00C\x004\x005\x00E\x00E\x00-\x004\x003\x009\x005\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x00B\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{1C1C45EE-4395-11D2-B60B-00104B703EFD}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => ProxyStubClsid32 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xff\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x001\x00C\x001\x00C\x004\x005\x00E\x00E\x00-\x004\x003\x009\x005\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x00B\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\\x00P\x00r\x00o\x00x\x00y\x00S\x00t\x00u\x00b\x00C\x00l\x00s\x00i\x00d\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{1C1C45EE-4395-11D2-B60B-00104B703EFD}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
Information => {\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00 KeyHandle => 0x000002d6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500_Classes |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xfe\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00U\x00S\x00E\x00R\x00\\x00S\x00-\x001\x00-\x005\x00-\x002\x001\x00-\x004\x000\x004\x003\x000\x000\x008\x002\x004\x008\x00-\x002\x008\x005\x001\x004\x009\x002\x003\x003\x008\x00-\x001\x009\x009\x002\x005\x002\x006\x004\x008\x001\x00-\x005\x000\x000\x00_\x00C\x00L\x00A\x00S\x00S\x00E\x00S\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Interface\{423EC01E-2E35-11D2-B604-00104B703EFD} |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d0 ObjectAttributes => \Registry\Machine\Software\Classes\Interface\{423EC01E-2E35-11D2-B604-00104B703EFD} |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d2 KeyInformation => \xef\xfe\xa6\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x004\x002\x003\x00E\x00C\x000\x001\x00E\x00-\x002\x00E\x003\x005\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{423EC01E-2E35-11D2-B604-00104B703EFD}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => ProxyStubClsid32 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtQueryKey |
KeyInformationClass => 3 KeyHandle => 0x000002d6 KeyInformation => \xef\xff\x88\x00\x00\x00\\x00R\x00E\x00G\x00I\x00S\x00T\x00R\x00Y\x00\\x00M\x00A\x00C\x00H\x00I\x00N\x00E\x00\\x00S\x00O\x00F\x00T\x00W\x00A\x00R\x00E\x00\\x00C\x00l\x00a\x00s\x00s\x00e\x00s\x00\\x00I\x00n\x00t\x00e\x00r\x00f\x00a\x00c\x00e\x00\\x00{\x004\x002\x003\x00E\x00C\x000\x001\x00E\x00-\x002\x00E\x003\x005\x00-\x001\x001\x00D\x002\x00-\x00B\x006\x000\x004\x00-\x000\x000\x001\x000\x004\x00B\x007\x000\x003\x00E\x00F\x00D\x00}\x00\\x00P\x00r\x00o\x00x\x00y\x00S\x00t\x00u\x00b\x00C\x00l\x00s\x00i\x00d\x003\x002\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | NtOpenKeyEx |
DesiredAccess => 33554432 KeyHandle => 0x00000000 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500_Classes\Interface\{423EC01E-2E35-11D2-B604-00104B703EFD}\ProxyStubClsid32 |
FAILURE | 0xc0000034 | |
| 23:22:06,257 | 2772 | NtQueryValueKey |
Information => {\x007\x00C\x008\x005\x007\x008\x000\x001\x00-\x007\x003\x008\x001\x00-\x001\x001\x00C\x00F\x00-\x008\x008\x004\x00D\x00-\x000\x000\x00A\x00A\x000\x000\x004\x00B\x002\x00E\x002\x004\x00}\x00\x00\x00 KeyHandle => 0x000002d6 ValueName => Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:06,257 | 2772 | DeviceIoControl |
DeviceHandle => 0x000001b4 OutBuffer => \xc9"\xf9\xd2V\x94\x90\xdbO\x0f\x18\x89\x14\xa0\x1d\x91TUGd\xb3\xb8\xde\x1a\xb0\x10\xd6.P!\x82*\xb0\xb2\xa9\xd3I\xd3 ^\xb7z\xf4L$\x82\xd4) IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:06,257 | 2772 | DeviceIoControl |
DeviceHandle => 0x000001b4 OutBuffer => \xd5>\x8d\xa8R\xea\x08q#\xcdV\xcb\x1c\xe5\xa0\xfd?\xcc5\xbfu\x9fO*|\x9a\xf1aQT\xedP\x19\xfb\x9a3t\x9e`\xa5\xb9\x86v\x00:\x86[\x05 IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:06,257 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemAlloc FunctionAddress => 0x77014054 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemFree FunctionAddress => 0x77014003 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | LdrLoadDll |
Flags => 1631772 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\OLEAUT32.dll |
FAILURE | 0xc0000135 | |
| 23:22:07,319 | 2772 | LdrLoadDll |
Flags => 1632992 BaseAddress => 0x76f30000 FileName => OLEAUT32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | LdrGetProcedureAddress |
Ordinal => 9 FunctionName => FunctionAddress => 0x76f33eae ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | LdrGetProcedureAddress |
Ordinal => 149 FunctionName => FunctionAddress => 0x76f346a5 ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | RegOpenKeyExW |
Handle => 0x000002d6 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | RegQueryValueExW |
Handle => 0x000002d6 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | RegCloseKey |
Handle => 0x000002d6 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | RegOpenKeyExW |
Handle => 0x000002d6 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | RegQueryValueExW |
Handle => 0x000002d6 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | RegCloseKey |
Handle => 0x000002d6 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:07,319 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:07,319 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000002d4 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:07,319 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000002d4 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | CreateThread |
ThreadId => 1128 StartRoutine => 0x71ba2f1a Parameter => 0x0018ead0 CreationFlags => 0 |
SUCCESS | 0x000002d8 | |
| 23:22:07,319 | 1128 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 1128 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 1128 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 1128 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 1128 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 1128 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 1128 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 1128 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,319 | 1128 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:07,319 | 2772 | DeviceIoControl |
DeviceHandle => 0x000001b4 OutBuffer => \xec\xbb\xb3Qq\x89\x10\xe3\x17\xfaiO\xdb\xbfw\x1c\x0fD\xce\xac\xefS\x03\x88\x1f\x1e\xea\xb5\x81\xe4W\x8bR\x11\x93\xa06:\xa6\x1f\x07\xfe\xf65\xe8\x052\xb2 IoControlCode => 3735560 InBuffer => |
SUCCESS | 0x00000001 | |
| 23:22:07,389 | 2772 | RegOpenKeyExW |
Handle => 0x000002d6 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | RegQueryValueExW |
Handle => 0x000002d6 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | RegCloseKey |
Handle => 0x000002d6 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | RegOpenKeyExW |
Handle => 0x000002d6 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | RegQueryValueExW |
Handle => 0x000002d6 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | RegCloseKey |
Handle => 0x000002d6 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:07,389 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:07,389 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000002d4 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:07,389 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000002d4 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | CreateThread |
ThreadId => 2976 StartRoutine => 0x71ba2f1a Parameter => 0x0018ead0 CreationFlags => 0 |
SUCCESS | 0x000002d8 | |
| 23:22:07,389 | 2976 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2976 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2976 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2976 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2976 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2976 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2976 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2976 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,389 | 2976 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | RegOpenKeyExW |
Handle => 0x000002d6 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | RegQueryValueExW |
Handle => 0x000002d6 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:07,389 | 2772 | RegCloseKey |
Handle => 0x000002d6 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrLoadDll |
Flags => 1633464 BaseAddress => 0x74dc0000 FileName => CRYPTSP.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetDefaultProviderW FunctionAddress => 0x74dc693a ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 024 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00E\x00n\x00h\x00a\x00n\x00c\x00e\x00d\x00 \x00R\x00S\x00A\x00 \x00a\x00n\x00d\x00 \x00A\x00E\x00S\x00 \x00C\x00r\x00y\x00p\x00t\x00o\x00g\x00r\x00a\x00p\x00h\x00i\x00c\x00 \x00P\x00r\x00o\x00v\x00i\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,399 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 024 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00E\x00n\x00h\x00a\x00n\x00c\x00e\x00d\x00 \x00R\x00S\x00A\x00 \x00a\x00n\x00d\x00 \x00A\x00E\x00S\x00 \x00C\x00r\x00y\x00p\x00t\x00o\x00g\x00r\x00a\x00p\x00h\x00i\x00c\x00 \x00P\x00r\x00o\x00v\x00i\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:07,399 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 024 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00E\x00n\x00h\x00a\x00n\x00c\x00e\x00d\x00 \x00R\x00S\x00A\x00 \x00a\x00n\x00d\x00 \x00A\x00E\x00S\x00 \x00C\x00r\x00y\x00p\x00t\x00o\x00g\x00r\x00a\x00p\x00h\x00i\x00c\x00 \x00P\x00r\x00o\x00v\x00i\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,399 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 024 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00E\x00n\x00h\x00a\x00n\x00c\x00e\x00d\x00 \x00R\x00S\x00A\x00 \x00a\x00n\x00d\x00 \x00A\x00E\x00S\x00 \x00C\x00r\x00y\x00p\x00t\x00o\x00g\x00r\x00a\x00p\x00h\x00i\x00c\x00 \x00P\x00r\x00o\x00v\x00i\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptAcquireContextW FunctionAddress => 0x74dc63e8 ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000002d4 ObjectAttributes => SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtQueryValueKey |
Information => 24 KeyHandle => 0x000002d4 ValueName => Type Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00r\x00s\x00a\x00e\x00n\x00h\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000002d4 ValueName => Image Path Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:07,399 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x74b60000 FileName => C:\Windows\system32\rsaenh.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPAcquireContext FunctionAddress => 0x74b646b8 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPReleaseContext FunctionAddress => 0x74b65a18 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGenKey FunctionAddress => 0x74b6b4f5 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDeriveKey FunctionAddress => 0x74b88201 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDestroyKey FunctionAddress => 0x74b677fc ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetKeyParam FunctionAddress => 0x74b74c92 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetKeyParam FunctionAddress => 0x74b74d62 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPExportKey FunctionAddress => 0x74b67e48 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPImportKey FunctionAddress => 0x74b6793b ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPEncrypt FunctionAddress => 0x74b74bb5 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDecrypt FunctionAddress => 0x74b856eb ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPCreateHash FunctionAddress => 0x74b65d47 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPHashData FunctionAddress => 0x74b65e99 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPHashSessionKey FunctionAddress => 0x74b85e02 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDestroyHash FunctionAddress => 0x74b65f99 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSignHash FunctionAddress => 0x74b6a639 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPVerifySignature FunctionAddress => 0x74b68ec6 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGenRandom FunctionAddress => 0x74b64423 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetUserKey FunctionAddress => 0x74b6afa0 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetProvParam FunctionAddress => 0x74b86d34 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetProvParam FunctionAddress => 0x74b86eac ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetHashParam FunctionAddress => 0x74b69d67 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetHashParam FunctionAddress => 0x74b66066 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDuplicateKey FunctionAddress => 0x74b87545 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDuplicateHash FunctionAddress => 0x74b8624f ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtOpenKeyEx |
DesiredAccess => 131353 KeyHandle => 0x000002d8 ObjectAttributes => Software\Microsoft\Cryptography |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtQueryValueKey |
Information => 1\x008\x00a\x00b\x003\x005\x003\x002\x00-\x006\x00c\x004\x00d\x00-\x004\x005\x00c\x007\x00-\x008\x00e\x009\x00a\x00-\x007\x001\x00f\x00a\x00e\x00d\x00c\x001\x005\x003\x005\x008\x00\x00\x00 KeyHandle => 0x000002d8 ValueName => MachineGuid Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:07,399 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Cryptography\Offload |
FAILURE | 0xc0000034 | |
| 23:22:07,399 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Cryptography\DESHashSessionKeyBackward |
FAILURE | 0xc0000034 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptCreateHash FunctionAddress => 0x74dc556b ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetACP FunctionAddress => 0x767e29a4 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\Global\NLS_CodePage_1252_3_2_0_0 SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:07,399 | 2772 | NtOpenSection |
DesiredAccess => 0x00000004 ObjectAttributes => C:\NLS_CodePage_1252_3_2_0_0 SectionHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:07,399 | 2772 | NtCreateSection |
ObjectAttributes => C:\Global\NLS_CodePage_1252_3_2_0_0 DesiredAccess => 0x000f0007 SectionHandle => 0x000002d4 FileHandle => 0x00000000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018e92c SectionHandle => 0x000002d4 ProcessHandle => 0xffffffff BaseAddress => 0x005d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => UnmapViewOfFile FunctionAddress => 0x767e125e ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptHashData FunctionAddress => 0x74dc57b2 ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptGetHashParam FunctionAddress => 0x74dc5ecc ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,399 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptDestroyHash FunctionAddress => 0x74dc5985 ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegOpenKeyExW |
Handle => 0x000002d8 Registry => 0x000001bc SubKey => NI\159a66b8\5d94bc56 |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegEnumKeyExW |
Index => 0 Handle => 0x000002d8 Name => e Class => |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegEnumKeyExW |
Index => 1 Handle => 0x000002d8 Name => e Class => |
FAILURE | 0x00000103 | |
| 23:22:07,419 | 2772 | RegCloseKey |
Handle => 0x000002d8 |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegOpenKeyExW |
Handle => 0x000002d8 Registry => 0x000001bc SubKey => NI\159a66b8\5d94bc56\e |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00C\x00o\x00n\x00f\x00i\x00g\x00u\x00r\x00a\x00t\x00i\x00o\x00n\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegCloseKey |
Handle => 0x000002d8 |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegOpenKeyExW |
Handle => 0x000002d8 Registry => 0x000001bc SubKey => NI\159a66b8\5d94bc56\e |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => NIDependencies |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:07,419 | 2772 | RegCloseKey |
Handle => 0x000002d8 |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | LdrLoadDll |
Flags => 1625392 BaseAddress => 0x66520000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Configuration\ac18c2dcd06bd2a0589bac94ccae5716\System.Configuration.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,419 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System.Configuration\v4.0_4.0.0.0__b03f5f7f11d50a3a\System.Configuration.INI |
SUCCESS | 0xffffffff | |
| 23:22:07,429 | 2772 | RegOpenKeyExW |
Handle => 0x000002d8 Registry => 0x000001bc SubKey => NI\6faf58\34f474d5 |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegEnumKeyExW |
Index => 0 Handle => 0x000002d8 Name => d Class => |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegEnumKeyExW |
Index => 1 Handle => 0x000002d8 Name => d Class => |
FAILURE | 0x00000103 | |
| 23:22:07,429 | 2772 | RegCloseKey |
Handle => 0x000002d8 |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegOpenKeyExW |
Handle => 0x000002d8 Registry => 0x000001bc SubKey => NI\6faf58\34f474d5\d |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00X\x00m\x00l\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegCloseKey |
Handle => 0x000002d8 |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegOpenKeyExW |
Handle => 0x000002d8 Registry => 0x000001bc SubKey => NI\6faf58\34f474d5\d |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => NIDependencies |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:07,429 | 2772 | RegCloseKey |
Handle => 0x000002d8 |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegOpenKeyExW |
Handle => 0x000002d8 Registry => 0x000001bc SubKey => IL\10ac776b\6310c234\1e |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00D\x00a\x00t\x00a\x00.\x00S\x00q\x00l\x00X\x00m\x00l\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x000002d8 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegCloseKey |
Handle => 0x000002d8 |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Data.SqlXml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:07,429 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Data.SqlXml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:07,429 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Data.SqlXml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:07,429 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Data.SqlXml__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:07,429 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Data.SqlXml,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | LdrLoadDll |
Flags => 1624524 BaseAddress => 0x63210000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\System.Xml\e997d0200c25f7db6bd32313d50b729d\System.Xml.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System.Xml\v4.0_4.0.0.0__b77a5c561934e089\System.Xml.INI |
SUCCESS | 0xffffffff | |
| 23:22:07,429 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentProcess FunctionAddress => 0x767e060c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetCurrentProcessW FunctionAddress => 0x0018e3a1 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:07,429 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,429 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessTokenW FunctionAddress => 0x0018e3a1 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:07,439 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileAttributesEx FunctionAddress => 0x665583b9 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:07,439 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileAttributesExW FunctionAddress => 0x767d5f4d ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,439 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateFile FunctionAddress => 0x649fae4e ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:07,439 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateFileW FunctionAddress => 0x767e0b5d ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,439 | 2772 | NtCreateFile |
ShareAccess => 1 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\machine.config DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,439 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileType FunctionAddress => 0x767e1c42 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,449 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileSize FunctionAddress => 0x767d5d47 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,449 | 2772 | NtQueryInformationFile |
FileHandle => 0x000002dc FileInformation => \x00\x90\x00\x00\x00\x00\x00\x00s\x8c\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,449 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ReadFile FunctionAddress => 0x767ddaa9 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,449 | 2772 | NtReadFile |
Buffer => <?xml version="1.0" encoding="UTF-8" ?>
<!--
Please refer to machine.config.comments for a description and
the default values of each configuration section.
For a full documentation of the schema please refer to
http://go.microsoft.c FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,449 | 2772 | NtReadFile |
Buffer => oup name="system.runtime.caching" type="System.Runtime.Caching.Configuration.CachingSectionGroup, System.Runtime.Caching, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a">
<section name="memoryCache" type="System.Runtime.Cach FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,449 | 2772 | NtReadFile |
Buffer => .ClientSection, System.ServiceModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
<section name="comContracts" type="System.ServiceModel.Configuration.ComContractsSection, System.ServiceModel, Version=4.0.0.0, Culture=n FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,449 | 2772 | NtReadFile |
Buffer => em.web" type="System.Web.Configuration.SystemWebSectionGroup, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a">
<section name="anonymousIdentification" type="System.Web.Configuration.AnonymousIdentificationSection FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,449 | 2772 | NtReadFile |
Buffer => Web.UI.MobileControls.MobileControlsSection, System.Web.Mobile, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" />
<section name="pages" type="System.Web.Configuration.PagesSection, System.Web, Version=4.0.0.0, Culture=neutr FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,459 | 2772 | NtReadFile |
Buffer => 0a3a" allowDefinition="MachineToApplication" />
<section name="outputCacheSettings" type="System.Web.Configuration.OutputCacheSettingsSection, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" allowDefinition=" FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,459 | 2772 | NtReadFile |
Buffer => useMachineProtection="true"
keyEntropy="" />
</providers>
</configProtectedData>
<runtime />
<connectionStrings>
<add name="LocalSqlServer" connectionString="data source=.\SQLEXPRESS;Integrated Security=SSPI;At FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,459 | 2772 | NtReadFile |
Buffer => yToken=31bf3856ad364e35"/>
<add name="context" type="System.ServiceModel.Configuration.ContextBindingElementExtensionElement, System.ServiceModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>
<add n FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,459 | 2772 | NtReadFile |
Buffer => ion=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089, processorArchitecture=MSIL"/>
</wsdlImporters>
</metadata>
</client>
<tracking>
<profiles>
<trackingProfile name="">
FileHandle => 0x000002dc |
SUCCESS | 0x00000000 | |
| 23:22:07,459 | 2772 | NtReadFile |
Buffer => FileHandle => 0x000002dc |
FAILURE | 0xc0000011 | |
| 23:22:07,459 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryPerformanceFrequency FunctionAddress => 0x767d5aad ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,459 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryPerformanceCounter FunctionAddress => 0x767df2a7 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegOpenKeyExW |
Handle => 0x0000031c Registry => 0x80000002 SubKey => Software\Microsoft\Windows NT\CurrentVersion |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegQueryValueExW |
Handle => 0x0000031c DataLength => 14 ValueName => InstallationType Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueEx FunctionAddress => 0x649fad62 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueExW FunctionAddress => 0x7656bcd5 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegQueryValueExW |
Handle => 0x0000031c Data => C\x00l\x00i\x00e\x00n\x00t\x00\x00\x00 ValueName => InstallationType |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegCloseKey |
Handle => 0x0000031c |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrLoadDll |
Flags => 1630252 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\rasapi32.dll |
FAILURE | 0xc0000135 | |
| 23:22:07,469 | 2772 | LdrLoadDll |
Flags => 1630252 BaseAddress => 0x72bd0000 FileName => rasapi32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasEnumConnections FunctionAddress => 0x6403496f ModuleHandle => 0x72bd0000 |
FAILURE | 0xc0000139 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasEnumConnectionsW FunctionAddress => 0x72bd74af ModuleHandle => 0x72bd0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtReadVirtualMemory |
Buffer => \x00\x00\xb8\x00 ProcessHandle => 0xffffffff BaseAddress => 0x7ffd7008 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0xffffffff BaseAddress => 0x7ffd700c |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtReadVirtualMemory |
Buffer => \x08\x19\x1f\x00 ProcessHandle => 0xffffffff BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtReadVirtualMemory |
Buffer => \x80\x19\x1f\x00\x8cx,w\x88\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb8\x00N\xa1\xd3\x00\x00\x80\x1c\x00d\x00f\x00\x18\x17\x1f\x00\x16\x00\x18\x00f\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xb4\x18 \x00\xf0\xa5,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00P\x19\x1f\x00P\x19\x1f\x00X\x19\x1f\x00X\x19\x1f\x00(\xe3\x1f\x00(\xe3\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0xffffffff BaseAddress => 0x001f1900 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtReadVirtualMemory |
Buffer => s\x00v\x00c\x00h\x00o\x00s\x00t\x00.\x00e\x00x\x00e\x00\x00\x00 ProcessHandle => 0xffffffff BaseAddress => 0x001f1766 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrLoadDll |
Flags => 1633084 BaseAddress => 0x73a90000 FileName => rtutils.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => TraceRegisterExA FunctionAddress => 0x73a9218c ModuleHandle => 0x73a90000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtCreateKey |
ObjectAttributes => Software\Microsoft\Tracing DesiredAccess => 3 KeyHandle => 0x00000334 Class => |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000334 ValueName => EnableConsoleTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Tracing\svchost_RASAPI32 |
FAILURE | 0xc0000034 | |
| 23:22:07,469 | 2772 | NtCreateKey |
ObjectAttributes => Software\Microsoft\Tracing DesiredAccess => 131103 KeyHandle => 0x00000338 Class => |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtCreateKey |
ObjectAttributes => Software\Microsoft\Tracing\svchost_RASAPI32 DesiredAccess => 131099 KeyHandle => 0x00000338 Class => |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegSetValueExA |
Handle => 0x00000338 Buffer => 0 ValueName => EnableFileTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegSetValueExA |
Handle => 0x00000338 Buffer => 0 ValueName => EnableConsoleTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegSetValueExA |
Handle => 0x00000338 Buffer => 4294901760 ValueName => FileTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegSetValueExA |
Handle => 0x00000338 Buffer => 4294901760 ValueName => ConsoleTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegSetValueExA |
Handle => 0x00000338 Buffer => 1048576 ValueName => MaxFileSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | RegSetValueExA |
Handle => 0x00000338 Buffer => %windir%\tracing\x00 ValueName => FileDirectory Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000338 ValueName => EnableFileTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000338 ValueName => FileTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000338 ValueName => EnableConsoleTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000338 ValueName => ConsoleTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 1048576 KeyHandle => 0x00000338 ValueName => MaxFileSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => %\x00w\x00i\x00n\x00d\x00i\x00r\x00%\x00\\x00t\x00r\x00a\x00c\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x00000338 ValueName => FileDirectory Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000338 ValueName => EnableFileTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000338 ValueName => FileTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000338 ValueName => EnableConsoleTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000338 ValueName => ConsoleTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 1048576 KeyHandle => 0x00000338 ValueName => MaxFileSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => %\x00w\x00i\x00n\x00d\x00i\x00r\x00%\x00\\x00t\x00r\x00a\x00c\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x00000338 ValueName => FileDirectory Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => TracePrintfExA FunctionAddress => 0x73a91bd4 ModuleHandle => 0x73a90000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrLoadDll |
Flags => 1633144 BaseAddress => 0x771d0000 FileName => API-MS-WIN-Service-Management-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenSCManagerW FunctionAddress => 0x771d63ad ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | OpenSCManagerW |
MachineName => DatabaseName => DesiredAccess => 2147483648 |
SUCCESS | 0x0028b748 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenServiceW FunctionAddress => 0x771d714b ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | OpenServiceW |
ServiceControlManager => 0x0028b748 ServiceName => RASMAN DesiredAccess => 4 |
SUCCESS | 0x0028b6a8 | |
| 23:22:07,469 | 2772 | LdrLoadDll |
Flags => 1633144 BaseAddress => 0x771d0000 FileName => API-MS-WIN-Service-winsvc-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryServiceStatus FunctionAddress => 0x771d4e4b ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CloseServiceHandle FunctionAddress => 0x771d4dc3 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,469 | 2772 | LdrLoadDll |
Flags => 1630208 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\ws2_32.dll |
FAILURE | 0xc0000135 | |
| 23:22:07,469 | 2772 | LdrLoadDll |
Flags => 1630208 BaseAddress => 0x76950000 FileName => ws2_32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WSAStartup FunctionAddress => 0x7695c0fb ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | WSAStartup |
VersionRequested => 0x00000202 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WSASocket FunctionAddress => 0x64034a8a ModuleHandle => 0x76950000 |
FAILURE | 0xc0000139 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WSASocketW FunctionAddress => 0x76953d1b ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => setsockopt FunctionAddress => 0x769545f9 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WSAEventSelect FunctionAddress => 0x76956a10 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ioctlsocket FunctionAddress => 0x76953131 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => closesocket FunctionAddress => 0x76953bed ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | WSASocketW |
type => 2 protocol => 0 af => 2 |
SUCCESS | 0x00000344 | |
| 23:22:07,469 | 2772 | setsockopt |
socket => 0x00000344 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
FAILURE | 0xffffffff | |
| 23:22:07,469 | 2772 | closesocket |
socket => 0x00000344 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | WSASocketW |
type => 2 protocol => 0 af => 23 |
SUCCESS | 0x00000344 | |
| 23:22:07,469 | 2772 | setsockopt |
socket => 0x00000344 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
FAILURE | 0xffffffff | |
| 23:22:07,469 | 2772 | closesocket |
socket => 0x00000344 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | WSASocketW |
type => 2 protocol => 0 af => 2 |
SUCCESS | 0x00000344 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ioctlsocket FunctionAddress => 0x76953131 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x00000344 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | WSASocketW |
type => 2 protocol => 0 af => 23 |
SUCCESS | 0x0000034c | |
| 23:22:07,469 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x0000034c |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WSAIoctl FunctionAddress => 0x76953094 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00d\xec\x18\x00\x02\x00\x00\x00\xb4 \x01\x00\x00\x00\x00\x00\x00\x10\x00\x00 FileHandle => 0x00000344 OutputBuffer => |
FAILURE | 0xc00000a3 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FormatMessage FunctionAddress => 0x6403483e ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:07,469 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FormatMessageW FunctionAddress => 0x767db65c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000354 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Control\CMF\Config |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000354 ValueName => SYSTEM Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\system32\en-US\KERNELBASE.dll.mui DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000354 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x00000358 FileHandle => 0x00000354 |
SUCCESS | 0x00000000 | |
| 23:22:07,469 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018e07c SectionHandle => 0x00000358 ProcessHandle => 0xffffffff BaseAddress => 0x04a70000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtOpenKey |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\Windows\Windows Error Reporting\WMR |
FAILURE | 0xc0000034 | |
| 23:22:07,489 | 2772 | NtOpenKey |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => \Registry\User\S-1-5-21-4043008248-2851492338-1992526481-500\Software\Microsoft\Windows\Windows Error Reporting\WMR |
FAILURE | 0xc0000034 | |
| 23:22:07,489 | 2772 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:07,489 | 2772 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WSAEventSelect FunctionAddress => 0x76956a10 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xb8\xec\x18\x00\x01\xd7$\x00\x00\x00\x00\x00 FileHandle => 0x00000344 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtDeviceIoControlFile |
InputBuffer => H\x03\x00\x00\x00\x10\x00\x00 FileHandle => 0x00000344 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00d\xec\x18\x00\x02\x00\x00\x00\xb4 \x01\x00\x00\x00\x00\x00\x00\x10\x00\x00 FileHandle => 0x0000034c OutputBuffer => |
FAILURE | 0xc00000a3 | |
| 23:22:07,489 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xb8\xec\x18\x00\x01\xd7$\x00\x00\x00\x00\x00 FileHandle => 0x0000034c OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtDeviceIoControlFile |
InputBuffer => P\x03\x00\x00\x00\x10\x00\x00 FileHandle => 0x0000034c OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasConnectionNotification FunctionAddress => 0x64034982 ModuleHandle => 0x72bd0000 |
FAILURE | 0xc0000139 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasConnectionNotificationW FunctionAddress => 0x72bd31f5 ModuleHandle => 0x72bd0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1633444 BaseAddress => 0x72bb0000 FileName => RASMAN.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortClearStatistics FunctionAddress => 0x72bb5137 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasBundleClearStatistics FunctionAddress => 0x72bb5151 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasBundleClearStatisticsEx FunctionAddress => 0x72bb6f0b ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasDeviceEnum FunctionAddress => 0x72bb516b ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasDeviceGetInfo FunctionAddress => 0x72bb51c2 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasFreeBuffer FunctionAddress => 0x72bb5382 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetBuffer FunctionAddress => 0x72bb52ef ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetInfo FunctionAddress => 0x72bb52b0 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetDialMachineEventContext FunctionAddress => 0x72bb528f ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetDialMachineEventHandle FunctionAddress => 0x72bb5262 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetNdiswanDriverCaps FunctionAddress => 0x72bb635e ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasInitialize FunctionAddress => 0x72bb6849 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasInitializeNoWait FunctionAddress => 0x72bb4d21 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortCancelReceive FunctionAddress => 0x72bb5057 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortEnum FunctionAddress => 0x72bb6c41 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortGetInfo FunctionAddress => 0x72bb4f10 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortGetFramingEx FunctionAddress => 0x72bb5620 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortGetStatistics FunctionAddress => 0x72bb50b3 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasBundleGetStatistics FunctionAddress => 0x72bb50d4 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortGetStatisticsEx FunctionAddress => 0x72bb50f5 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasBundleGetStatisticsEx FunctionAddress => 0x72bb5116 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortReceive FunctionAddress => 0x72bb5004 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortReceiveEx FunctionAddress => 0x72bb5036 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortSend FunctionAddress => 0x72bb4fdf ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortGetBundle FunctionAddress => 0x72bb583e ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetDevConfig FunctionAddress => 0x72bb5d32 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetDevConfigEx FunctionAddress => 0x72bb65d2 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetDevConfig FunctionAddress => 0x72bb5d0e ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortClose FunctionAddress => 0x72bb4eec ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortListen FunctionAddress => 0x72bb5071 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortConnectComplete FunctionAddress => 0x72bb5099 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortDisconnect FunctionAddress => 0x72bb4f4f ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRequestNotification FunctionAddress => 0x72bb54dd ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortEnumProtocols FunctionAddress => 0x72bb5520 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortSetFraming FunctionAddress => 0x72bb5541 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortSetFramingEx FunctionAddress => 0x72bb5602 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetCachedCredentials FunctionAddress => 0x72bb54bc ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetDialParams FunctionAddress => 0x72bb58b4 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetDialParams FunctionAddress => 0x72bb58d5 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasCreateConnection FunctionAddress => 0x72bb58f9 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasDestroyConnection FunctionAddress => 0x72bb599f ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasConnectionEnum FunctionAddress => 0x72bb5939 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasAddConnectionPort FunctionAddress => 0x72bb595a ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasEnumConnectionPorts FunctionAddress => 0x72bb597b ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetConnectionParams FunctionAddress => 0x72bb5a65 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetConnectionParams FunctionAddress => 0x72bb5ade ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetConnectionUserData FunctionAddress => 0x72bb5afc ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetConnectionUserData FunctionAddress => 0x72bb5b20 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetPortUserData FunctionAddress => 0x72bb5b44 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetPortUserData FunctionAddress => 0x72bb5b68 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasAddNotification FunctionAddress => 0x72bb2f77 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSignalNewConnection FunctionAddress => 0x72bb5cda ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasApplyPostConnectActions FunctionAddress => 0x72bb5cf4 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasProtocolStop FunctionAddress => 0x72bb5baa ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasProtocolCallback FunctionAddress => 0x72bb5bc4 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasProtocolChangePassword FunctionAddress => 0x72bb5be2 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasProtocolGetInfo FunctionAddress => 0x72bb5c06 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasProtocolRetry FunctionAddress => 0x72bb5c24 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasProtocolStart FunctionAddress => 0x72bb5c48 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortOpen FunctionAddress => 0x72bb4e75 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasAllocateRoute FunctionAddress => 0x72bb53c0 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasActivateRoute FunctionAddress => 0x72bb53e4 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasActivateRouteEx FunctionAddress => 0x72bb5408 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasDeviceSetInfo FunctionAddress => 0x72bb5210 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasDeviceSetInfoSafe FunctionAddress => 0x72bb51e9 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasDeviceConnect FunctionAddress => 0x72bb5234 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortSetInfo FunctionAddress => 0x72bb4f31 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSendProtocolResultToRasman FunctionAddress => 0x72bb5b8c ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetEapInfo FunctionAddress => 0x72bb5e4d ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcConnect FunctionAddress => 0x72bb7523 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcDisconnect FunctionAddress => 0x72bb753e ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetNumPortOpen FunctionAddress => 0x72bb5fb6 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRefConnection FunctionAddress => 0x72bb5fde ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetEapUIData FunctionAddress => 0x72bb6029 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetEapUIData FunctionAddress => 0x72bb5fff ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasFindPrerequisiteEntry FunctionAddress => 0x72bb60be ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasPortOpenEx FunctionAddress => 0x72bb6bc0 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasLinkGetStatistics FunctionAddress => 0x72bb60dc ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasConnectionGetStatistics FunctionAddress => 0x72bb60fd ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetHportFromConnection FunctionAddress => 0x72bb611b ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRPCBind FunctionAddress => 0x72bb7479 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasReferenceCustomCount FunctionAddress => 0x72bb6139 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetHConnFromEntry FunctionAddress => 0x72bb6160 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetDeviceName FunctionAddress => 0x72bb61b1 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasEnableIpSec FunctionAddress => 0x72bb6277 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSetTunnelEndPoints FunctionAddress => 0x72bb62e8 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasStartRasAutoIfRequired FunctionAddress => 0x72bb4a02 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasStartProtocolRenegotiation FunctionAddress => 0x72bb6657 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSendNotification FunctionAddress => 0x72bb6344 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetDeviceNameW FunctionAddress => 0x72bb61de ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetUnicodeDeviceName FunctionAddress => 0x72bb6616 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcGetVersion FunctionAddress => 0x72bb7c1e ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcPortEnum FunctionAddress => 0x72bb7999 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcDeviceEnum FunctionAddress => 0x72bb79c4 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcGetDevConfig FunctionAddress => 0x72bb79ef ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcPortGetInfo FunctionAddress => 0x72bb7a1a ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcGetInstalledProtocols FunctionAddress => 0x72bb7af1 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcGetInstalledProtocolsEx FunctionAddress => 0x72bb7bf3 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcGetSystemDirectory FunctionAddress => 0x72bb7b72 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcGetUserPreferences FunctionAddress => 0x72bb7b1c ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcDeleteEntry FunctionAddress => 0x72bb7a70 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcEnumConnections FunctionAddress => 0x72bb7a45 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcGetCountryInfo FunctionAddress => 0x72bb7ac6 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcGetErrorString FunctionAddress => 0x72bb7a9b ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRpcSetUserPreferences FunctionAddress => 0x72bb7b47 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasProtocolUpdateConnection FunctionAddress => 0x72bb6f35 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasAddNotificationEx FunctionAddress => 0x72bb66b6 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasRemoveNotificationEx FunctionAddress => 0x72bb671c ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasGetNotificationEntry FunctionAddress => 0x72bb6739 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasSignalMonitorThreadExit FunctionAddress => 0x72bb7437 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RasmanUninitialize FunctionAddress => 0x72bb67c2 ModuleHandle => 0x72bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtReadVirtualMemory |
Buffer => \x00\x00\xb8\x00 ProcessHandle => 0xffffffff BaseAddress => 0x7ffd7008 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtReadVirtualMemory |
Buffer => \x80x,w ProcessHandle => 0xffffffff BaseAddress => 0x7ffd700c |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtReadVirtualMemory |
Buffer => \x08\x19\x1f\x00 ProcessHandle => 0xffffffff BaseAddress => 0x772c7894 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtReadVirtualMemory |
Buffer => \x80\x19\x1f\x00\x8cx,w\x88\x19\x1f\x00\x94x,w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xb8\x00N\xa1\xd3\x00\x00\x80\x1c\x00d\x00f\x00\x18\x17\x1f\x00\x16\x00\x18\x00f\x17\x1f\x00\x00@@\x00\xff\xff\x00\x00\xb4\x18 \x00\xf0\xa5,w\xd5\x03\xf8T\x00\x00\x00\x00\x00\x00\x00\x00P\x19\x1f\x00P\x19\x1f\x00X\x19\x1f\x00X\x19\x1f\x00(\xe3\x1f\x00(\xe3\x1f\x00\xc8\xc1$w\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 ProcessHandle => 0xffffffff BaseAddress => 0x001f1900 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtReadVirtualMemory |
Buffer => s\x00v\x00c\x00h\x00o\x00s\x00t\x00.\x00e\x00x\x00e\x00\x00\x00 ProcessHandle => 0xffffffff BaseAddress => 0x001f1766 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1633196 BaseAddress => 0x73a90000 FileName => rtutils.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => TraceRegisterExA FunctionAddress => 0x73a9218c ModuleHandle => 0x73a90000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Tracing\svchost_RASMANCS |
FAILURE | 0xc0000034 | |
| 23:22:07,489 | 2772 | NtCreateKey |
ObjectAttributes => Software\Microsoft\Tracing DesiredAccess => 131103 KeyHandle => 0x00000360 Class => |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtCreateKey |
ObjectAttributes => Software\Microsoft\Tracing\svchost_RASMANCS DesiredAccess => 131099 KeyHandle => 0x00000360 Class => |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegSetValueExA |
Handle => 0x00000360 Buffer => 0 ValueName => EnableFileTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegSetValueExA |
Handle => 0x00000360 Buffer => 0 ValueName => EnableConsoleTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegSetValueExA |
Handle => 0x00000360 Buffer => 4294901760 ValueName => FileTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegSetValueExA |
Handle => 0x00000360 Buffer => 4294901760 ValueName => ConsoleTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegSetValueExA |
Handle => 0x00000360 Buffer => 1048576 ValueName => MaxFileSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegSetValueExA |
Handle => 0x00000360 Buffer => %windir%\tracing\x00 ValueName => FileDirectory Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000360 ValueName => EnableFileTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000360 ValueName => FileTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000360 ValueName => EnableConsoleTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000360 ValueName => ConsoleTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 1048576 KeyHandle => 0x00000360 ValueName => MaxFileSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => %\x00w\x00i\x00n\x00d\x00i\x00r\x00%\x00\\x00t\x00r\x00a\x00c\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x00000360 ValueName => FileDirectory Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000338 ValueName => EnableFileTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000338 ValueName => FileTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000338 ValueName => EnableConsoleTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000338 ValueName => ConsoleTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 1048576 KeyHandle => 0x00000338 ValueName => MaxFileSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => %\x00w\x00i\x00n\x00d\x00i\x00r\x00%\x00\\x00t\x00r\x00a\x00c\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x00000338 ValueName => FileDirectory Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000360 ValueName => EnableFileTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000360 ValueName => FileTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000360 ValueName => EnableConsoleTracing Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 4294901760 KeyHandle => 0x00000360 ValueName => ConsoleTracingMask Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => 1048576 KeyHandle => 0x00000360 ValueName => MaxFileSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
Information => %\x00w\x00i\x00n\x00d\x00i\x00r\x00%\x00\\x00t\x00r\x00a\x00c\x00i\x00n\x00g\x00\x00\x00 KeyHandle => 0x00000360 ValueName => FileDirectory Type => 2 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => TracePrintfExA FunctionAddress => 0x73a91bd4 ModuleHandle => 0x73a90000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x72bb0000 FileName => rasman.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | CreateThread |
ThreadId => 0 StartRoutine => 0x72bb32fb Parameter => 0x00000000 CreationFlags => 0 |
SUCCESS | 0x0000036c | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1633236 BaseAddress => 0x771d0000 FileName => API-MS-WIN-Service-winsvc-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenSCManagerA FunctionAddress => 0x771d64f0 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | OpenSCManagerA |
MachineName => DatabaseName => DesiredAccess => 1 |
SUCCESS | 0x0028b6a8 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenServiceA FunctionAddress => 0x771d7245 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | OpenServiceA |
ServiceControlManager => 0x0028b6a8 ServiceName => rasman DesiredAccess => 4 |
SUCCESS | 0x0028b798 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryServiceStatus FunctionAddress => 0x771d4e4b ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1633240 BaseAddress => 0x771d0000 FileName => API-MS-WIN-Service-Management-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CloseServiceHandle FunctionAddress => 0x771d4dc3 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenCurrentUser FunctionAddress => 0x76562eba ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegCloseKey FunctionAddress => 0x7656bed4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000370 ObjectAttributes => \REGISTRY\USER\S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyEx FunctionAddress => 0x640349c8 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyExW FunctionAddress => 0x7656bec4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegOpenKeyExW |
Handle => 0x00000374 Registry => 0x00000370 SubKey => SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegNotifyChangeKeyValue FunctionAddress => 0x76561936 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyEx FunctionAddress => 0x640349c8 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegOpenKeyExW FunctionAddress => 0x7656bec4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegOpenKeyExW |
Handle => 0x0000037c Registry => 0x80000002 SubKey => SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | RegOpenKeyExW |
Handle => 0x00000384 Registry => 0x80000002 SubKey => SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1630296 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\winhttp.dll |
FAILURE | 0xc0000135 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1630296 BaseAddress => 0x71ee0000 FileName => winhttp.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpOpen FunctionAddress => 0x71eeb4f0 ModuleHandle => 0x71ee0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpOpenW FunctionAddress => 0x0018e791 ModuleHandle => 0x71ee0000 |
FAILURE | 0xc0000139 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpCloseHandle FunctionAddress => 0x71eea605 ModuleHandle => 0x71ee0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpCloseHandleW FunctionAddress => 0x0018e591 ModuleHandle => 0x71ee0000 |
FAILURE | 0xc0000139 | |
| 23:22:07,489 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000398 ObjectAttributes => SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\Tracing |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000398 ValueName => Enabled |
FAILURE | 0xc0000034 | |
| 23:22:07,489 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000398 ObjectAttributes => SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000398 ValueName => ShareCredsWithWinHttp |
FAILURE | 0xc0000034 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1632952 BaseAddress => 0x76730000 FileName => SHLWAPI.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => StrRChrA FunctionAddress => 0x7673d1e6 ModuleHandle => 0x76730000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000398 ObjectAttributes => SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000398 ValueName => DisableBranchCache |
FAILURE | 0xc0000034 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1633092 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenThreadToken FunctionAddress => 0x7656b79c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1632740 BaseAddress => 0x71ee0000 FileName => winhttp.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1632668 BaseAddress => 0x76950000 FileName => WS2_32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 115 FunctionName => FunctionAddress => 0x7695c0fb ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | WSAStartup |
VersionRequested => 0x00000101 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x771f0000 FileName => ntdll.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetSystemFileCacheSize FunctionAddress => 0x768277a6 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NtSetSystemInformation FunctionAddress => 0x77235bd0 ModuleHandle => 0x771f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PrivIsDllSynchronizationHeld FunctionAddress => 0x71ea25fc ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1632072 BaseAddress => 0x76950000 FileName => WS2_32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 115 FunctionName => FunctionAddress => 0x7695c0fb ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | WSAStartup |
VersionRequested => 0x00000202 |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x0018e74c FileName => verifier.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:07,489 | 2772 | LdrLoadDll |
Flags => 1632280 BaseAddress => 0x76790000 FileName => kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,489 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetProductInfo FunctionAddress => 0x767ce269 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1632572 BaseAddress => 0x73b60000 FileName => peerdist.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistStartup FunctionAddress => 0x73b64695 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistShutdown FunctionAddress => 0x73b649a4 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistGetStatus FunctionAddress => 0x73b64d4d ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistClientOpenContent FunctionAddress => 0x73b66063 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistClientCloseContent FunctionAddress => 0x73b661c8 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistClientAddContentInformation FunctionAddress => 0x73b66347 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistClientCompleteContentInformation FunctionAddress => 0x73b664d7 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistClientAddData FunctionAddress => 0x73b66647 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistClientStreamRead FunctionAddress => 0x73b66967 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistClientBlockRead FunctionAddress => 0x73b667d7 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => PeerDistClientFlushContent FunctionAddress => 0x73b66af7 ModuleHandle => 0x73b60000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1632264 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CreateWellKnownSid FunctionAddress => 0x7656bd6b ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => AdjustTokenPrivileges FunctionAddress => 0x7656b656 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1632512 BaseAddress => 0x75220000 FileName => SspiCli.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitSecurityInterfaceW FunctionAddress => 0x75225869 ModuleHandle => 0x75220000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => InitSecurityInterfaceA FunctionAddress => 0x75225885 ModuleHandle => 0x75220000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | WSAStartup |
VersionRequested => 0x00000202 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 111 FunctionName => FunctionAddress => 0x76953395 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003e4 ObjectAttributes => System\CurrentControlSet\Control\LsaExtensionConfig\SspiCli |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => c\x00r\x00y\x00p\x00t\x00s\x00p\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000003e4 ValueName => CheckSignatureDll Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => S\x00y\x00s\x00t\x00e\x00m\x00F\x00u\x00n\x00c\x00t\x00i\x00o\x00n\x000\x003\x005\x00\x00\x00 KeyHandle => 0x000003e4 ValueName => CheckSignatureRoutine Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1632404 BaseAddress => 0x74dc0000 FileName => cryptsp.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SystemFunction035 FunctionAddress => 0x74dc3ea8 ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00001000 BaseAddress => 0x005f0000 |
SUCCESS | 0x00000000 | 8 times |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003e4 ObjectAttributes => System\CurrentControlSet\Control\SecurityProviders |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => c\x00r\x00e\x00d\x00s\x00s\x00p\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000003e4 ValueName => SecurityProviders Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1631884 BaseAddress => 0x74b40000 FileName => credssp.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003e4 ObjectAttributes => System\CurrentControlSet\Control\Lsa\SspiCache |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003e8 ObjectAttributes => credssp.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => C\x00R\x00E\x00D\x00S\x00S\x00P\x00\x00\x00 KeyHandle => 0x000003e8 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00C\x00r\x00e\x00d\x00S\x00S\x00P\x00 \x00S\x00e\x00c\x00u\x00r\x00i\x00t\x00y\x00 \x00P\x00r\x00o\x00v\x00i\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000003e8 ValueName => Comment Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 67379 KeyHandle => 0x000003e8 ValueName => Capabilities Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 65535 KeyHandle => 0x000003e8 ValueName => RpcId Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000003e8 ValueName => Version Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 33 KeyHandle => 0x000003e8 ValueName => Type Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 37032 KeyHandle => 0x000003e8 ValueName => TokenSize Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000003e8 ObjectAttributes => System\CurrentControlSet\Control\SecurityProviders\SaslProfiles |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | RegEnumValueW |
Index => 0 Handle => 0x000003e8 Data => K\x00e\x00r\x00b\x00e\x00r\x00o\x00s\x00\x00\x00 ValueName => GSSAPI |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | RegEnumValueW |
Index => 1 Handle => 0x000003e8 DataLength => 520 ValueName => GSSAPI Type => 1 |
FAILURE | 0x00000103 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1633052 BaseAddress => 0x765f0000 FileName => RPCRT4.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcStringBindingComposeW FunctionAddress => 0x7661831c ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcBindingFromStringBindingW FunctionAddress => 0x76618035 ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcBindingSetAuthInfoExW FunctionAddress => 0x7661886b ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcBindingSetOption FunctionAddress => 0x76610160 ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcStringFreeW FunctionAddress => 0x766173b1 ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1632864 BaseAddress => 0x76550000 FileName => ADVAPI32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenThreadToken FunctionAddress => 0x7656b79c ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpSetTimeouts FunctionAddress => 0x71eecb93 ModuleHandle => 0x71ee0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpSetTimeoutsW FunctionAddress => 0x0018e791 ModuleHandle => 0x71ee0000 |
FAILURE | 0xc0000139 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LocalFree FunctionAddress => 0x767e057c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpGetIEProxyConfigForCurrentUser FunctionAddress => 0x71ef1d66 ModuleHandle => 0x71ee0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1633064 BaseAddress => 0x74910000 FileName => IPHLPAPI.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetAdaptersAddresses FunctionAddress => 0x74919451 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => Nsi DesiredAccess => 0x00100080 CreateDisposition => 1 FileHandle => 0x000003e4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xb4Q)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xb4Q)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00DT)\x00\x0b\x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x008\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00DT)\x00\x0b\x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x008\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\\xad)\x00\xd4V)\x00\x0b\x00\x00\x00\x88\xac)\x00\x88\xac)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\x82\xac)\x00\x80\xac)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\\xad)\x00\xd4V)\x00\x0b\x00\x00\x00\x88\xac)\x00\x88\xac)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\x82\xac)\x00\x80\xac)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\\xad)\x00dY)\x00\x0b\x00\x00\x00\x88\xac)\x00\x88\xac)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\x82\xac)\x00\x80\xac)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\\xad)\x00dY)\x00\x0b\x00\x00\x00\x88\xac)\x00\x88\xac)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\x82\xac)\x00\x80\xac)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xf4[)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xf4[)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\x84^)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x18\x0b\x00\x00\xd0\x0c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\x84^)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x18\x0b\x00\x00\xd0\x0c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\x14a)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\x14a)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xa4c)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x88\x0f\x00\x00\xf0\x11\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xa4c)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x88\x0f\x00\x00\xf0\x11\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x004f)\x00\x0b\x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xc0\x11\x00\x00\x80\x14\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x004f)\x00\x0b\x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xc0\x11\x00\x00\x80\x14\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1632196 BaseAddress => 0x71e70000 FileName => dhcpcsvc6.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => Dhcpv6QueryLeaseInfo FunctionAddress => 0x71e71730 ModuleHandle => 0x71e70000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1631732 BaseAddress => 0x74910000 FileName => IPHLPAPI.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ConvertInterfaceNameToLuidW FunctionAddress => 0x74917bed ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,499 | 2980 | OpenSCManagerA |
MachineName => DatabaseName => DesiredAccess => 1 |
SUCCESS | 0x0028c210 | |
| 23:22:07,499 | 2980 | OpenServiceA |
ServiceControlManager => 0x0028c210 ServiceName => RASMAN DesiredAccess => 4 |
SUCCESS | 0x0028c198 | |
| 23:22:07,499 | 2980 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NotifyServiceStatusChangeA FunctionAddress => 0x771da11d ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2980 | NtOpenThread |
DesiredAccess => 16 ObjectAttributes => ThreadHandle => 0x00000404 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => Dhcpv6FreeLeaseInfo FunctionAddress => 0x71e71d3b ModuleHandle => 0x71e70000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1632232 BaseAddress => 0x73900000 FileName => dhcpcsvc.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DhcpIsEnabled FunctionAddress => 0x73901b2d ModuleHandle => 0x73900000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1631520 BaseAddress => 0x74910000 FileName => IPHLPAPI.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ConvertInterfaceNameToLuidW FunctionAddress => 0x74917bed ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000410 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\xe6\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe6\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\xe6\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe6\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000414 ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000414 ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000414 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000414 ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000414 ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000414 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000414 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000414 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000414 ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000414 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000414 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00l\xc5)\x00Tk)\x00\x0f\x00\x00\x00\x98\xc4)\x00\x98\xc4)\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\x92\xc4)\x00\x90\xc4)\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00l\xc5)\x00Tk)\x00\x0f\x00\x00\x00\x98\xc4)\x00\x98\xc4)\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\x92\xc4)\x00\x90\xc4)\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00l\xc5)\x00\xe4m)\x00\x0b\x00\x00\x00\x98\xc4)\x00\x98\xc4)\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\x92\xc4)\x00\x90\xc4)\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00l\xc5)\x00\xe4m)\x00\x0b\x00\x00\x00\x98\xc4)\x00\x98\xc4)\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\x92\xc4)\x00\x90\xc4)\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000414 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\xe6\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe6\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\xe6\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe6\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000410 ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000410 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xcc\xc8)\x00\x04s)\x00 \x00\x00\x00\xf8\xc7)\x00\xf8\xc7)\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xf2\xc7)\x00\xf0\xc7)\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xcc\xc8)\x00\x04s)\x00 \x00\x00\x00\xf8\xc7)\x00\xf8\xc7)\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xf2\xc7)\x00\xf0\xc7)\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xcc\xc8)\x00\x94u)\x00\x0f\x00\x00\x00\xf8\xc7)\x00\xf8\xc7)\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xf2\xc7)\x00\xf0\xc7)\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xcc\xc8)\x00\x94u)\x00\x0f\x00\x00\x00\xf8\xc7)\x00\xf8\xc7)\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xf2\xc7)\x00\xf0\xc7)\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xcc\xc8)\x00$x)\x00 \x00\x00\x00\xf8\xc7)\x00\xf8\xc7)\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xf2\xc7)\x00\xf0\xc7)\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xcc\xc8)\x00$x)\x00 \x00\x00\x00\xf8\xc7)\x00\xf8\xc7)\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xf2\xc7)\x00\xf0\xc7)\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xcc\xc8)\x00\xb4z)\x00 \x00\x00\x00\xf8\xc7)\x00\xf8\xc7)\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xf2\xc7)\x00\xf0\xc7)\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xcc\xc8)\x00\xb4z)\x00 \x00\x00\x00\xf8\xc7)\x00\xf8\xc7)\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xf2\xc7)\x00\xf0\xc7)\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\xb4\xea\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xb4Q)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xb4Q)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00DT)\x00\x0b\x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x008\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00DT)\x00\x0b\x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x008\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xb4\xc9)\x00\xd4V)\x00\x0b\x00\x00\x00\xe0\xc8)\x00\xe0\xc8)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\xda\xc8)\x00\xd8\xc8)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00p\x04\x00\x00 \x05\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xb4\xc9)\x00\xd4V)\x00\x0b\x00\x00\x00\xe0\xc8)\x00\xe0\xc8)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\xda\xc8)\x00\xd8\xc8)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00p\x04\x00\x00 \x05\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xb4\xc9)\x00dY)\x00\x0b\x00\x00\x00\xe0\xc8)\x00\xe0\xc8)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\xda\xc8)\x00\xd8\xc8)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xa8\x06\x00\x00\xb0\x07\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xb4\xc9)\x00dY)\x00\x0b\x00\x00\x00\xe0\xc8)\x00\xe0\xc8)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\xda\xc8)\x00\xd8\xc8)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xa8\x06\x00\x00\xb0\x07\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xf4[)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xf4[)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\x84^)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x18\x0b\x00\x00\xd0\x0c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\x84^)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x18\x0b\x00\x00\xd0\x0c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\x14a)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\x14a)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xa4c)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x88\x0f\x00\x00\xf0\x11\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x00\xa4c)\x00 \x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x88\x0f\x00\x00\xf0\x11\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x004f)\x00\x0b\x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xc0\x11\x00\x00\x80\x14\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00$\xad(\x004f)\x00\x0b\x00\x00\x00P\xac(\x00P\xac(\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00J\xac(\x00H\xac(\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xc0\x11\x00\x00\x80\x14\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000410 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\xe6\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe6\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\xe6\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe6\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000414 ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000414 ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000414 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000414 ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000414 ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000414 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000414 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000414 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000414 ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000414 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000414 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xb4\xc9)\x00Tk)\x00\x0f\x00\x00\x00\xe0\xc8)\x00\xe0\xc8)\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xda\xc8)\x00\xd8\xc8)\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xb4\xc9)\x00Tk)\x00\x0f\x00\x00\x00\xe0\xc8)\x00\xe0\xc8)\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xda\xc8)\x00\xd8\xc8)\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xb4\xc9)\x00\xe4m)\x00\x0b\x00\x00\x00\xe0\xc8)\x00\xe0\xc8)\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xda\xc8)\x00\xd8\xc8)\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xb4\xc9)\x00\xe4m)\x00\x0b\x00\x00\x00\xe0\xc8)\x00\xe0\xc8)\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xda\xc8)\x00\xd8\xc8)\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000414 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\xe6\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe6\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\xe6\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe6\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000410 ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000410 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\x14\xcd)\x00\x04s)\x00 \x00\x00\x00@\xcc)\x00@\xcc)\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00:\xcc)\x008\xcc)\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\x14\xcd)\x00\x04s)\x00 \x00\x00\x00@\xcc)\x00@\xcc)\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00:\xcc)\x008\xcc)\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\x14\xcd)\x00\x94u)\x00\x0f\x00\x00\x00@\xcc)\x00@\xcc)\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00:\xcc)\x008\xcc)\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\x14\xcd)\x00\x94u)\x00\x0f\x00\x00\x00@\xcc)\x00@\xcc)\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00:\xcc)\x008\xcc)\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\x14\xcd)\x00$x)\x00 \x00\x00\x00@\xcc)\x00@\xcc)\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00:\xcc)\x008\xcc)\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\x14\xcd)\x00$x)\x00 \x00\x00\x00@\xcc)\x00@\xcc)\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00:\xcc)\x008\xcc)\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\x14\xcd)\x00\xb4z)\x00 \x00\x00\x00@\xcc)\x00@\xcc)\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00:\xcc)\x008\xcc)\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\xdc\xea\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x18\xea\x18\x00\x08\x00\x00\x00 \xea\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0c\xea\x18\x00\x0c\x00\x00\x00\x14\xcd)\x00\xb4z)\x00 \x00\x00\x00@\xcc)\x00@\xcc)\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01t\xe9\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00:\xcc)\x008\xcc)\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xac\xea\x18\x00\x98\xea\x18\x00.7\x91t<\xeb\x18\x00&\x00\x00\x00\x88{\x91t\xac\xea\x18\x00\xa8\xeb\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000410 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Linkage |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000410 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000410 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetBestInterfaceEx FunctionAddress => 0x7491a227 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\\xeb\x18\x008\x00\x00\x00\x01\x00\x00\x00\xcc\xeb\x18\x00\x04\x00\x00\x00|\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\\xeb\x18\x008\x00\x00\x00\x01\x00\x00\x00\xcc\xeb\x18\x00\x04\x00\x00\x00|\x00\x00\x00\x98\xeb\x18\x00\x829\x91t\x01\x00\x00\x00\x9c5\x91t\x00\x00\x00\x00\\xeb\x18\x008\x00\x00\x00\x01\x00\x00\x00\xcc\xeb\x18\x00\x04\x00\x00\x00|\x00\x00\x00\x98\xc4)\x00\x00\x00\x00\x00\x98\xf1}v\x9c5\x91t\x00\x00\x00\x00\xcc\xeb\x18\x008\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xef9\x7f;\xac\xeb\x18\x009\xa2\x91t\xd4\xeb\x18\x00\x00\x00\x00\x00\xcc\xeb\x18\x00\x04\xec\x18\x00Y$\xefq\xd4\xeb\x18\x00\xcc\xeb\x18\x00\x1c\xed\x18\x00\x0c\xed\x18\x00\x00\x00\x00\x00<\x04\x00\x00O\xd7\xdf\x01\x00\x00\x00\x00\x17\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,499 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\\xeb\x18\x00 \x00\x00\x00\x01\x00\x00\x00\xcc\xeb\x18\x00\x04\x00\x00\x00X\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\\xeb\x18\x00 \x00\x00\x00\x01\x00\x00\x00\xcc\xeb\x18\x00\x04\x00\x00\x00X\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SHGetValueA FunctionAddress => 0x7673d1a1 ModuleHandle => 0x76730000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000410 ObjectAttributes => SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000410 ValueName => ProxySettingsPerUser |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2772 | LdrLoadDll |
Flags => 1632424 BaseAddress => 0x771f0000 FileName => ntdll.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RtlConvertSidToUnicodeString FunctionAddress => 0x77248be0 ModuleHandle => 0x771f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenProcessToken FunctionAddress => 0x7656b7c4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTokenInformation FunctionAddress => 0x7656b7b4 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKey |
DesiredAccess => 33554432 KeyHandle => 0x00000410 ObjectAttributes => \REGISTRY\USER |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 3 KeyHandle => 0x00000414 ObjectAttributes => S-1-5-21-4043008248-2851492338-1992526481-500 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000418 ObjectAttributes => Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000418 ValueName => DefaultConnectionSettings |
FAILURE | 0x80000005 | 1 time |
| 23:22:07,499 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000418 ValueName => DefaultConnectionSettings Type => 3 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000041c ObjectAttributes => Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000041c ValueName => WpadOverride |
FAILURE | 0xc0000034 | |
| 23:22:07,499 | 2988 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,499 | 2988 | LdrLoadDll |
Flags => 87685852 BaseAddress => 0x76fc0000 FileName => ole32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoInitializeEx FunctionAddress => 0x77000804 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetDllHandle |
ModuleHandle => 0x76550000 FileName => advapi32 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegDeleteTreeA FunctionAddress => 0x7659247b ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegDeleteTreeW FunctionAddress => 0x7659246b ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemAlloc FunctionAddress => 0x77014054 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => StringFromIID FunctionAddress => 0x76fd336b ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:07,499 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,499 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xb4Q)\x00 \x00\x00\x00\xc4\x00\x1f\x00\xe0\xce)\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x008\x02\x00\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xb4Q)\x00 \x00\x00\x00\xc4\x00\x1f\x00\xe0\xce)\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x008\x02\x00\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00DT)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x058\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00DT)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x058\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xd4V)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05p\x04\x00\x00 \x05\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xd4V)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05p\x04\x00\x00 \x05\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00dY)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xa8\x06\x00\x00\xb0\x07\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00dY)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xa8\x06\x00\x00\xb0\x07\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xf4[)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xf4[)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\x84^)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x18\x0b\x00\x00\xd0\x0c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\x84^)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x18\x0b\x00\x00\xd0\x0c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\x14a)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\x14a)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xa4c)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x88\x0f\x00\x00\xf0\x11\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xa4c)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x88\x0f\x00\x00\xf0\x11\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x004f)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xc0\x11\x00\x00\x80\x14\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x004f)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xc0\x11\x00\x00\x80\x14\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000428 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x00000428 ValueName => SearchList |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2980 | NtOpenThread |
DesiredAccess => 16 ObjectAttributes => ThreadHandle => 0x00000404 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 1792 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 1792 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 1792 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 1792 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 1792 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 1792 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 1792 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 1792 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x004\xf49\x05\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf49\x058\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x004\xf49\x05\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf49\x058\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000440 ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000440 ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000440 ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000440 ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000440 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x00000440 ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x00000440 ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,509 | 2988 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000440 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000440 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x004\x07*\x00Tk)\x00\x0f\x00\x00\x00`\x06*\x00`\x06*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00Z\x06*\x00X\x06*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x050\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x004\x07*\x00Tk)\x00\x0f\x00\x00\x00`\x06*\x00`\x06*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00Z\x06*\x00X\x06*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x050\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x004\x07*\x00\xe4m)\x00\x0b\x00\x00\x00`\x06*\x00`\x06*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00Z\x06*\x00X\x06*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x004\x07*\x00\xe4m)\x00\x0b\x00\x00\x00`\x06*\x00`\x06*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00Z\x06*\x00X\x06*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x004\xf49\x05\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf49\x058\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x004\xf49\x05\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf49\x058\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000043c ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | 1 time |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x94 *\x00\x04s)\x00 \x00\x00\x00\xc0 *\x00\xc0 *\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xba *\x00\xb8 *\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x94 *\x00\x04s)\x00 \x00\x00\x00\xc0 *\x00\xc0 *\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xba *\x00\xb8 *\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x94 *\x00\x94u)\x00\x0f\x00\x00\x00\xc0 *\x00\xc0 *\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xba *\x00\xb8 *\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x94 *\x00\x94u)\x00\x0f\x00\x00\x00\xc0 *\x00\xc0 *\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xba *\x00\xb8 *\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x94 *\x00$x)\x00 \x00\x00\x00\xc0 *\x00\xc0 *\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xba *\x00\xb8 *\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x94 *\x00$x)\x00 \x00\x00\x00\xc0 *\x00\xc0 *\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xba *\x00\xb8 *\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x94 *\x00\xb4z)\x00 \x00\x00\x00\xc0 *\x00\xc0 *\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xba *\x00\xb8 *\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x94 *\x00\xb4z)\x00 \x00\x00\x00\xc0 *\x00\xc0 *\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xba *\x00\xb8 *\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x008!'\x00\x18\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\xb8\xc4(\x00\x08\x00\x00\x00h\xc4(\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x008!'\x00\x18\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\xb8\xc4(\x00\x08\x00\x00\x00h\xc4(\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xd0e(\x00\x10\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00h\xc4(\x00\x08\x00\x00\x00\xb8\xc4(\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xd0e(\x00\x10\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00h\xc4(\x00\x08\x00\x00\x00\xb8\xc4(\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x1e(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x1e(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xb8\xc4(\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xb8\xc4(\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x885'\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x885'\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc0 *\x00H\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc0 *\x00H\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc0 *\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc0 *\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xb4Q)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x008\x02\x00\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xb4Q)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x008\x02\x00\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00DT)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x058\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00DT)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x058\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xd4V)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05p\x04\x00\x00 \x05\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xd4V)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05p\x04\x00\x00 \x05\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00dY)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xa8\x06\x00\x00\xb0\x07\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00dY)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xa8\x06\x00\x00\xb0\x07\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xf4[)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xf4[)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\x84^)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x18\x0b\x00\x00\xd0\x0c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\x84^)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x18\x0b\x00\x00\xd0\x0c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\x14a)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\x14a)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xa4c)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x88\x0f\x00\x00\xf0\x11\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x00\xa4c)\x00 \x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x88\x0f\x00\x00\xf0\x11\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x004f)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xc0\x11\x00\x00\x80\x14\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\xb4\xcf)\x004f)\x00\x0b\x00\x00\x00\xe0\xce)\x00\xe0\xce)\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00\xda\xce)\x00\xd8\xce)\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xc0\x11\x00\x00\x80\x14\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => SearchList |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x004\xf49\x05\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf49\x058\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x004\xf49\x05\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf49\x058\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000440 ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000440 ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000440 ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000440 ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000440 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x00000440 ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x00000440 ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,509 | 2988 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000440 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x00000440 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00$\x0f*\x00Tk)\x00\x0f\x00\x00\x00P\x0e*\x00P\x0e*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00J\x0e*\x00H\x0e*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x050\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00$\x0f*\x00Tk)\x00\x0f\x00\x00\x00P\x0e*\x00P\x0e*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00J\x0e*\x00H\x0e*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x050\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00$\x0f*\x00\xe4m)\x00\x0b\x00\x00\x00P\x0e*\x00P\x0e*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00J\x0e*\x00H\x0e*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00$\x0f*\x00\xe4m)\x00\x0b\x00\x00\x00P\x0e*\x00P\x0e*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00J\x0e*\x00H\x0e*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x004\xf49\x05\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf49\x058\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x004\xf49\x05\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf49\x058\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000043c ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | 1 time |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x84\x12*\x00\x04s)\x00 \x00\x00\x00\xb0\x11*\x00\xb0\x11*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xaa\x11*\x00\xa8\x11*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x84\x12*\x00\x04s)\x00 \x00\x00\x00\xb0\x11*\x00\xb0\x11*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xaa\x11*\x00\xa8\x11*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x84\x12*\x00\x94u)\x00\x0f\x00\x00\x00\xb0\x11*\x00\xb0\x11*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa\x11*\x00\xa8\x11*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x84\x12*\x00\x94u)\x00\x0f\x00\x00\x00\xb0\x11*\x00\xb0\x11*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa\x11*\x00\xa8\x11*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x84\x12*\x00$x)\x00 \x00\x00\x00\xb0\x11*\x00\xb0\x11*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xaa\x11*\x00\xa8\x11*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x84\x12*\x00$x)\x00 \x00\x00\x00\xb0\x11*\x00\xb0\x11*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xaa\x11*\x00\xa8\x11*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x84\x12*\x00\xb4z)\x00 \x00\x00\x00\xb0\x11*\x00\xb0\x11*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xaa\x11*\x00\xa8\x11*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x10\xf99\x05\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00L\xf89\x05\x08\x00\x00\x00T\xf89\x05\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\xf89\x05\x0c\x00\x00\x00\x84\x12*\x00\xb4z)\x00 \x00\x00\x00\xb0\x11*\x00\xb0\x11*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\xa8\xf79\x05&\x00\x00\x00D\xfd9\x05M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xaa\x11*\x00\xa8\x11*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xe0\xf89\x05\xcc\xf89\x05.7\x91tp\xf99\x05&\x00\x00\x00\x88{\x91t\xe0\xf89\x05\xdc\xf99\x05\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa0!'\x00\x18\x00\x00\x008!'\x00\x18\x00\x00\x00\xb8\xc4(\x00\x08\x00\x00\x00h\xc4(\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa0!'\x00\x18\x00\x00\x008!'\x00\x18\x00\x00\x00\xb8\xc4(\x00\x08\x00\x00\x00h\xc4(\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00`f(\x00\x10\x00\x00\x008!'\x00\x18\x00\x00\x00h\xc4(\x00\x08\x00\x00\x00\xb8\xc4(\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00`f(\x00\x10\x00\x00\x008!'\x00\x18\x00\x00\x00h\xc4(\x00\x08\x00\x00\x00\xb8\xc4(\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x1e(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x1e(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xb8\xc4(\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xb8\xc4(\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x885'\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x885'\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xb0\x11*\x00H\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xb0\x11*\x00H\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xb0\x11*\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xb0\x11*\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000043c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Linkage |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => KeyHandle => 0x0000043c ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => KeyHandle => 0x0000043c ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrLoadDll |
Flags => 87685436 BaseAddress => 0x77330000 FileName => NSI.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NsiAllocateAndGetTable FunctionAddress => 0x77331949 ModuleHandle => 0x77330000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x80?\xefq\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x80?\xefq\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x80?\xefq\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x80?\xefq\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0Q)\x00\x90\x02\x00\x00X\x82)\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrLoadDll |
Flags => 87684380 BaseAddress => 0x75530000 FileName => CFGMGR32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CM_Open_Class_Key_ExW FunctionAddress => 0x7553833b ModuleHandle => 0x75530000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | RegOpenKeyExW |
Handle => 0x0000043c Registry => 0x80000002 SubKey => System\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318} |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ConvertInterfaceGuidToLuid FunctionAddress => 0x749148c7 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00P\x0e*\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00P\x0e*\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetIfEntry2 FunctionAddress => 0x74915028 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00T\xec9\x05\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00T\xec9\x05\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xed9\x05\x08\x00\x00\x00T\xed9\x05@\x04\x00\x00h\xec9\x05\xd8\x00\x00\x00\x94\xf19\x05X\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00L\xed9\x05\x08\x00\x00\x00T\xed9\x05@\x04\x00\x00h\xec9\x05\xd8\x00\x00\x00\x94\xf19\x05X\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetIpForwardTable2 FunctionAddress => 0x7491540b ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\xf39\x05\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x80\xf39\x05\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xe0\xce)\x000\x00\x00\x00\xb8\xc8)\x00\x1c\x00\x00\x00\xc0\x8b#\x00\x08\x00\x00\x00X\xaf(\x00\x08\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xe0\xce)\x000\x00\x00\x00\xb8\xc8)\x00\x1c\x00\x00\x00\xc0\x8b#\x00\x08\x00\x00\x00X\xaf(\x00\x08\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xd1)\x00H\x00\x00\x00X\xad)\x00\x1c\x00\x00\x000\xae'\x00\x14\x00\x00\x00\x88\xb2!\x00\x08\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xd1)\x00H\x00\x00\x00X\xad)\x00\x1c\x00\x00\x000\xae'\x00\x14\x00\x00\x00\x88\xb2!\x00\x08\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetIpNetEntry2 FunctionAddress => 0x74915426 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf39\x05\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00X\xf39\x05\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x12\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xf39\x05\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x12\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xf39\x05\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x0b\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xf39\x05\x18\x00\x00\x00\xac\xf39\x05 \x00\x00\x00p\xf39\x05\x10\x00\x00\x00\x80\xf39\x05\x04\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x0b\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xf39\x05\x18\x00\x00\x00\xac\xf39\x05 \x00\x00\x00p\xf39\x05\x10\x00\x00\x00\x80\xf39\x05\x04\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00$\xf39\x05\x08\x00\x00\x00\x02\x00\x00\x00\xa0\xf99\x05\x04\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00$\xf39\x05\x08\x00\x00\x00\x02\x00\x00\x00\xa0\xf99\x05\x04\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => FreeMibTable FunctionAddress => 0x74913608 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoTaskMemFree FunctionAddress => 0x77014003 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | 2 times |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NsiFreeTable FunctionAddress => 0x773318f4 ModuleHandle => 0x77330000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131103 KeyHandle => 0x0000043c ObjectAttributes => Software\Microsoft\windows\CurrentVersion\Internet Settings\Wpad |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => 0a-00-27-00-00-00 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => 3 KeyHandle => 0x00000440 ValueName => WpadDecision Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
Information => KeyHandle => 0x00000440 ValueName => WpadDecisionTime Type => 3 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | NtQueryValueKey |
KeyHandle => 0x0000043c ValueName => WpadExpirationDays |
FAILURE | 0xc0000034 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoUninitialize FunctionAddress => 0x770070c7 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetDllHandle |
ModuleHandle => 0x76f30000 FileName => oleaut32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrLoadDll |
Flags => 87685816 BaseAddress => 0x76f30000 FileName => OLEAUT32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,509 | 2988 | LdrGetProcedureAddress |
Ordinal => 500 FunctionName => FunctionAddress => 0x76f33f0b ModuleHandle => 0x76f30000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpGetProxyForUrl FunctionAddress => 0x71eef600 ModuleHandle => 0x71ee0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WinHttpGetProxyForUrlW FunctionAddress => 0x0018e6f1 ModuleHandle => 0x71ee0000 |
FAILURE | 0xc0000139 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcAsyncInitializeHandle FunctionAddress => 0x76684ef0 ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrLoadDll |
Flags => 1632560 BaseAddress => 0x771d0000 FileName => API-MS-WIN-Service-Management-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenSCManagerW FunctionAddress => 0x771d63ad ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | OpenSCManagerW |
MachineName => DatabaseName => DesiredAccess => 1 |
SUCCESS | 0x0028c5d0 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => OpenServiceW FunctionAddress => 0x771d714b ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | OpenServiceW |
ServiceControlManager => 0x0028c5d0 ServiceName => WinHttpAutoProxySvc DesiredAccess => 148 |
SUCCESS | 0x0028c5a8 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CloseServiceHandle FunctionAddress => 0x771d4dc3 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrLoadDll |
Flags => 1632576 BaseAddress => 0x771d0000 FileName => API-MS-WIN-Service-Management-L2-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NotifyServiceStatusChangeW FunctionAddress => 0x771da0ff ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | NtOpenThread |
DesiredAccess => 16 ObjectAttributes => ThreadHandle => 0x0000043c |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrLoadDll |
Flags => 1632580 BaseAddress => 0x771d0000 FileName => API-MS-WIN-Service-winsvc-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => QueryServiceStatus FunctionAddress => 0x771d4e4b ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => StartServiceW FunctionAddress => 0x771d4f35 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,519 | 2772 | StartServiceW |
ServiceHandle => 0x0028c5a8 Arguments => [] |
FAILURE | 0x00000000 | |
| 23:22:07,519 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => StrCmpNW FunctionAddress => 0x767480e3 ModuleHandle => 0x76730000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1632816 BaseAddress => 0x74c40000 FileName => DNSAPI.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DnsGetProxyInformation FunctionAddress => 0x74c56e3f ModuleHandle => 0x74c40000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1632684 BaseAddress => 0x765f0000 FileName => RPCRT4.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NdrClientCall2 FunctionAddress => 0x76685600 ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcStringBindingComposeW FunctionAddress => 0x7661831c ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcBindingFromStringBindingW FunctionAddress => 0x76618035 ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcStringFreeW FunctionAddress => 0x766173b1 ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => I_RpcExceptionFilter FunctionAddress => 0x7661eb41 ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RpcBindingFree FunctionAddress => 0x7662d40c ModuleHandle => 0x765f0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000440 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000444 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => System\CurrentControlSet\Services\DNS |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => QueryAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DisableAdapterDomainName |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => UseDomainNameDevolution |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000440 ValueName => UseDomainNameDevolution Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => DomainNameDevolutionLevel |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => PrioritizeRecordData |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => PrioritizeRecordData |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => AllowUnqualifiedQuery |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => AllowUnqualifiedQuery |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => AppendToMultiLabelName |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => ScreenBadTlds |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => ScreenUnreachableServers |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => ScreenDefaultServers |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => DynamicServerQueryOrder |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => FilterClusterIp |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => WaitForNameErrorOnAll |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => UseEdns |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => DnsSecureNameQueryFallback |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => EnableDAForAllNetworks |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => DirectAccessQueryOrder |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => QueryIpMatching |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => UseHostsFile |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => AddrConfigControl |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DisableDynamicUpdate |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegisterPrimaryName |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => EnableAdapterDomainNameRegistration |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegisterReverseLookup |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DisableReverseAddressRegistrations |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegisterWanAdapters |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DisableWanDynamicUpdate |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegistrationTtl |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DefaultRegistrationTTL |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegistrationRefreshInterval |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DefaultRegistrationRefreshInterval |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegistrationMaxAddressCount |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => MaxNumberOfAddressesToRegister |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => UpdateSecurityLevel |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => UpdateSecurityLevel |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => UpdateTopLevelDomainZones |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => DowncaseSpnCauseApiOwnerIsTooLazy |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => RegistrationOverwrite |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => MaxCacheSize |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => MaxCacheTtl |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => MaxNegativeCacheTtl |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => AdapterTimeoutLimit |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => ServerPriorityTimeLimit |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => MaxCachedSockets |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => EnableMulticast |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => MulticastResponderFlags |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => MulticastSenderFlags |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => MulticastSenderMaxTimeout |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => DnsTest |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => UseCompartments |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => CacheAllCompartments |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => UseNewRegistration |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => ResolverRegistration |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => ResolverRegistrationOnly |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000448 ObjectAttributes => System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000448 ValueName => SystemSetupInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => DnsQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DnsQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000444 ValueName => DnsQuickQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000440 ValueName => DnsQuickQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters\DnsPolicyConfig |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKey |
DesiredAccess => 131353 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Microsoft\SQMClient\Windows |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xe8\xfd\xc4t\x07\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xe8\xfd\xc4t\x07\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xe8\xfd\xc4t\x07\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\xe0\xce)\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xe8\xfd\xc4t\x07\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\xe0\xce)\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\x01\x00\x00\x00\x14\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\x01\x00\x00\x00\x14\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\x02\x00\x00\x00\x18\xea\x18\x00\x02\x00\x00\x00\x08\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\x02\x00\x00\x00\x18\xea\x18\x00\x02\x00\x00\x00\x08\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\x06*\x00\x08\x00\x00\x00\x01\x00\x00\x00\x14\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\x06*\x00\x08\x00\x00\x00\x01\x00\x00\x00\x14\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\x06*\x00\x08\x00\x00\x00\x02\x00\x00\x00\x18\xea\x18\x00\x02\x00\x00\x00\x08\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\x06*\x00\x08\x00\x00\x00\x02\x00\x00\x00\x18\xea\x18\x00\x02\x00\x00\x00\x08\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xd0\xfd\xc4t\x07\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xd0\xfd\xc4t\x07\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xd0\xfd\xc4t\x07\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\xe0\xce)\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xd0\xfd\xc4t\x07\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\xe0\xce)\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\x01\x00\x00\x00\x14\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\x01\x00\x00\x00\x14\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\x02\x00\x00\x00\x18\xea\x18\x00\x02\x00\x00\x00\x08\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xc8\x06*\x00\x08\x00\x00\x00\x02\x00\x00\x00\x18\xea\x18\x00\x02\x00\x00\x00\x08\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\x06*\x00\x08\x00\x00\x00\x01\x00\x00\x00\x14\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\x06*\x00\x08\x00\x00\x00\x01\x00\x00\x00\x14\xea\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\x06*\x00\x08\x00\x00\x00\x02\x00\x00\x00\x18\xea\x18\x00\x02\x00\x00\x00\x08\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xfa\xc4t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\x06*\x00\x08\x00\x00\x00\x02\x00\x00\x00\x18\xea\x18\x00\x02\x00\x00\x00\x08\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 57 FunctionName => FunctionAddress => 0x76959307 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1631236 BaseAddress => 0x742d0000 FileName => C:\Windows\system32\NLAapi.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NSPStartup FunctionAddress => 0x742d5ec9 ModuleHandle => 0x742d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00020000 BaseAddress => 0x00600000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1631236 BaseAddress => 0x74d80000 FileName => C:\Windows\System32\mswsock.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NSPStartup FunctionAddress => 0x74d885b9 ModuleHandle => 0x74d80000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1631084 BaseAddress => 0x74c40000 FileName => DNSAPI.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DnsQueryConfigAllocEx FunctionAddress => 0x74c57137 ModuleHandle => 0x74c40000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000440 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000448 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000440 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,529 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000448 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000440 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000448 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,529 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000440 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000448 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\System\DNSClient |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000440 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1631236 BaseAddress => 0x73b50000 FileName => C:\Windows\System32\winrnr.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NSPStartup FunctionAddress => 0x73b516b4 ModuleHandle => 0x73b50000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1631236 BaseAddress => 0x73b40000 FileName => C:\Windows\system32\napinsp.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => NSPStartup FunctionAddress => 0x73b41d20 ModuleHandle => 0x73b40000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1630996 BaseAddress => 0x771d0000 FileName => API-MS-Win-Security-SDDL-L1-1-0.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ConvertStringSecurityDescriptorToSecurityDescriptorW FunctionAddress => 0x771de093 ModuleHandle => 0x771d0000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DnsApiAlloc FunctionAddress => 0x74c430e7 ModuleHandle => 0x74c40000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrLoadDll |
Flags => 1631728 BaseAddress => 0x76950000 FileName => WS2_32.dll |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 112 FunctionName => FunctionAddress => 0x76953f79 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 111 FunctionName => FunctionAddress => 0x76953395 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x0000045c Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000460 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x0000045c ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DnsApiFree FunctionAddress => 0x74c4306f ModuleHandle => 0x74c40000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => getaddrinfo FunctionAddress => 0x76956737 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | getaddrinfo |
ServiceName => NodeName => WIN-2HLBF7Q9PE1 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => freeaddrinfo FunctionAddress => 0x76956387 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\xa0Q)\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\xa0Q)\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x9c\xe9\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x9c\xe9\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00t\x1e*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00t\x1e*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\x04!*\x00\x0b\x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x008\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\x04!*\x00\x0b\x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x008\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00\x94#*\x00\x0b\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00\x94#*\x00\x0b\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00$&*\x00\x0b\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00$&*\x00\x0b\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\xb4(*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\xb4(*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00D+*\x00 \x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00D+*\x00 \x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\xd4-*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\xd4-*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00d0*\x00 \x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00d0*\x00 \x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00\xf42*\x00\x0b\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00\xf42*\x00\x0b\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => SearchList |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xb8\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xdc\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xb8\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xdc\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000046c ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000046c ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x0000046c ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000046c ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000046c ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000046c ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000046c ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,529 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,529 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000046c ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x0000046c ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x0000046c ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,539 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x0000046c |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x0000046c OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00\x148*\x00\x0f\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00\x148*\x00\x0f\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00\xa4:*\x00\x0b\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x1c\xa3)\x00\xa4:*\x00\x0b\x00\x00\x00H\xa2)\x00H\xa2)\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00B\xa2)\x00@\xa2)\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xb8\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xdc\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xb8\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xdc\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000468 ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | 1 time |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00|\xa6)\x00\xc4?*\x00 \x00\x00\x00\xa8\xa5)\x00\xa8\xa5)\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xa2\xa5)\x00\xa0\xa5)\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00|\xa6)\x00\xc4?*\x00 \x00\x00\x00\xa8\xa5)\x00\xa8\xa5)\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xa2\xa5)\x00\xa0\xa5)\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00|\xa6)\x00TB*\x00\x0f\x00\x00\x00\xa8\xa5)\x00\xa8\xa5)\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xa2\xa5)\x00\xa0\xa5)\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00|\xa6)\x00TB*\x00\x0f\x00\x00\x00\xa8\xa5)\x00\xa8\xa5)\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xa2\xa5)\x00\xa0\xa5)\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00|\xa6)\x00\xe4D*\x00 \x00\x00\x00\xa8\xa5)\x00\xa8\xa5)\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xa2\xa5)\x00\xa0\xa5)\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00|\xa6)\x00\xe4D*\x00 \x00\x00\x00\xa8\xa5)\x00\xa8\xa5)\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xa2\xa5)\x00\xa0\xa5)\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00|\xa6)\x00tG*\x00 \x00\x00\x00\xa8\xa5)\x00\xa8\xa5)\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xa2\xa5)\x00\xa0\xa5)\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00\x94\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xd0\xe8\x18\x00\x08\x00\x00\x00\xd8\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc4\xe8\x18\x00\x0c\x00\x00\x00|\xa6)\x00tG*\x00 \x00\x00\x00\xa8\xa5)\x00\xa8\xa5)\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01,\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xa2\xa5)\x00\xa0\xa5)\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00d\xe9\x18\x00P\xe9\x18\x00.7\x91t\xf4\xe9\x18\x00&\x00\x00\x00\x88{\x91td\xe9\x18\x00`\xea\x18\x00\x00\x00\x00\x00l\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x008!'\x00\x18\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00P\x0b*\x00\x08\x00\x00\x00\x98 *\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x008!'\x00\x18\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00P\x0b*\x00\x08\x00\x00\x00\x98 *\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa8f(\x00\x10\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x98 *\x00\x08\x00\x00\x00P\x0b*\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa8f(\x00\x10\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x98 *\x00\x08\x00\x00\x00P\x0b*\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x18\x1f(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x18\x1f(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00P\x0b*\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00P\x0b*\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xf88'\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xf88'\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\xa0Q)\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\xa0Q)\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x98\xe9\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x98\xe9\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00t\x1e*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00t\x1e*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\x04!*\x00\x0b\x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x008\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\x04!*\x00\x0b\x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x008\x02\x00\x00\x90\x02\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00\x94#*\x00\x0b\x00\x00\x00\xc4\x00\x1f\x00\x18O*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00\x94#*\x00\x0b\x00\x00\x00\xc4\x00\x1f\x00\x18O*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00$&*\x00\x0b\x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00$&*\x00\x0b\x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\xb4(*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\xb4(*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\xe0\x08\x00\x00@ \x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00D+*\x00 \x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00D+*\x00 \x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\xd4-*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xa4|)\x00\xd4-*\x00 \x00\x00\x00\xd0{)\x00\xd0{)\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00\xca{)\x00\xc8{)\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00P \x00\x00`\x0f\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00d0*\x00 \x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00d0*\x00 \x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00\xf42*\x00\x0b\x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00\xf42*\x00\x0b\x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => SearchList |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xb4\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd8\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xb4\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd8\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000046c ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000046c ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x0000046c ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000046c ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000046c ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000046c ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000046c ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000046c ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x0000046c ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x0000046c ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:07,539 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x0000046c |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x0000046c OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00\x148*\x00\x0f\x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00\x148*\x00\x0f\x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00\xa4:*\x00\x0b\x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\xecO*\x00\xa4:*\x00\x0b\x00\x00\x00\x18O*\x00\x18O*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\x12O*\x00\x10O*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000046c ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xb4\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd8\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xb4\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd8\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000468 ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | 1 time |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00LS*\x00\xc4?*\x00 \x00\x00\x00xR*\x00xR*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00rR*\x00pR*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00LS*\x00\xc4?*\x00 \x00\x00\x00xR*\x00xR*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00rR*\x00pR*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00LS*\x00TB*\x00\x0f\x00\x00\x00xR*\x00xR*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00rR*\x00pR*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00LS*\x00TB*\x00\x0f\x00\x00\x00xR*\x00xR*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00rR*\x00pR*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00LS*\x00\xe4D*\x00 \x00\x00\x00xR*\x00xR*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00rR*\x00pR*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00LS*\x00\xe4D*\x00 \x00\x00\x00xR*\x00xR*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00rR*\x00pR*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00LS*\x00tG*\x00 \x00\x00\x00xR*\x00xR*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00rR*\x00pR*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00\x90\xe9\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xcc\xe8\x18\x00\x08\x00\x00\x00\xd4\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc0\xe8\x18\x00\x0c\x00\x00\x00LS*\x00tG*\x00 \x00\x00\x00xR*\x00xR*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01(\xe8\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00rR*\x00pR*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00`\xe9\x18\x00L\xe9\x18\x00.7\x91t\xf0\xe9\x18\x00&\x00\x00\x00\x88{\x91t`\xe9\x18\x00\\xea\x18\x00\x00\x00\x00\x00h\xe9\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa0!'\x00\x18\x00\x00\x008!'\x00\x18\x00\x00\x00P\x0b*\x00\x08\x00\x00\x00\x98 *\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa0!'\x00\x18\x00\x00\x008!'\x00\x18\x00\x00\x00P\x0b*\x00\x08\x00\x00\x00\x98 *\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc8g(\x00\x10\x00\x00\x008!'\x00\x18\x00\x00\x00\x98 *\x00\x08\x00\x00\x00P\x0b*\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xc8g(\x00\x10\x00\x00\x008!'\x00\x18\x00\x00\x00\x98 *\x00\x08\x00\x00\x00P\x0b*\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x18\x1f(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x18\x1f(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00P\x0b*\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00P\x0b*\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00X\xaf(\x00\x18\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xf88'\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xf88'\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000468 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Linkage |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000468 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000468 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:07,539 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000468 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:07,539 | 2772 | WSAStartup |
VersionRequested => 0x00000202 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | getaddrinfo |
ServiceName => NodeName => wpad |
FAILURE | 0x00002afc | |
| 23:22:10,093 | 2772 | LdrGetProcedureAddress |
Ordinal => 116 FunctionName => FunctionAddress => 0x76953661 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetTimeZoneInformation FunctionAddress => 0x767ce588 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\system32\tzres.dll DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000474 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x00000478 FileHandle => 0x00000474 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x00000000 SectionHandle => 0x00000478 ProcessHandle => 0xffffffff BaseAddress => 0x00600000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\system32\en-US\tzres.dll.mui DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000478 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x00000474 FileHandle => 0x00000478 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018de40 SectionHandle => 0x00000474 ProcessHandle => 0xffffffff BaseAddress => 0x00610000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\system32\tzres.dll DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000478 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x00000474 FileHandle => 0x00000478 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x00000000 SectionHandle => 0x00000474 ProcessHandle => 0xffffffff BaseAddress => 0x00600000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\system32\en-US\tzres.dll.mui DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x00000474 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x00000478 FileHandle => 0x00000474 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018de40 SectionHandle => 0x00000478 ProcessHandle => 0xffffffff BaseAddress => 0x00610000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => SetEvent FunctionAddress => 0x767df26e ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | CreateThread |
ThreadId => 2024 StartRoutine => 0x01d359c0 Parameter => 0x0027f050 CreationFlags => 4 |
SUCCESS | 0x00000484 | |
| 23:22:10,093 | 2772 | NtResumeThread |
SuspendCount => 1 ThreadHandle => 0x00000484 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2024 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2024 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2024 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2024 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2024 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2024 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2024 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2024 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,093 | 2024 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ResetEvent FunctionAddress => 0x767df224 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LocalFree FunctionAddress => 0x767e057c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | LdrLoadDll |
Flags => 1629976 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\System\v4.0_4.0.0.0__b77a5c561934e089\iphlpapi.dll |
FAILURE | 0xc0000135 | |
| 23:22:10,093 | 2772 | LdrLoadDll |
Flags => 1629976 BaseAddress => 0x74910000 FileName => iphlpapi.dll |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetNetworkParams FunctionAddress => 0x74915d24 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | LdrLoadDll |
Flags => 1632884 BaseAddress => 0x74c40000 FileName => DNSAPI.dll |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DnsQueryConfig FunctionAddress => 0x74c571a9 ModuleHandle => 0x74c40000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000490 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000494 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => System\CurrentControlSet\Services\DNS |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => QueryAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DisableAdapterDomainName |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => UseDomainNameDevolution |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000490 ValueName => UseDomainNameDevolution Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DomainNameDevolutionLevel |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => PrioritizeRecordData |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => PrioritizeRecordData |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => AllowUnqualifiedQuery |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => AllowUnqualifiedQuery |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => AppendToMultiLabelName |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => ScreenBadTlds |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => ScreenUnreachableServers |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => ScreenDefaultServers |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DynamicServerQueryOrder |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => FilterClusterIp |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => WaitForNameErrorOnAll |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => UseEdns |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DnsSecureNameQueryFallback |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => EnableDAForAllNetworks |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DirectAccessQueryOrder |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => QueryIpMatching |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => UseHostsFile |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => AddrConfigControl |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DisableDynamicUpdate |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegisterPrimaryName |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => EnableAdapterDomainNameRegistration |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegisterReverseLookup |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DisableReverseAddressRegistrations |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegisterWanAdapters |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DisableWanDynamicUpdate |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegistrationTtl |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DefaultRegistrationTTL |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegistrationRefreshInterval |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DefaultRegistrationRefreshInterval |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegistrationMaxAddressCount |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => MaxNumberOfAddressesToRegister |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => UpdateSecurityLevel |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => UpdateSecurityLevel |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => UpdateTopLevelDomainZones |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DowncaseSpnCauseApiOwnerIsTooLazy |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => RegistrationOverwrite |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => MaxCacheSize |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => MaxCacheTtl |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => MaxNegativeCacheTtl |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => AdapterTimeoutLimit |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => ServerPriorityTimeLimit |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => MaxCachedSockets |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => EnableMulticast |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => MulticastResponderFlags |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => MulticastSenderFlags |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => MulticastSenderMaxTimeout |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DnsTest |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => UseCompartments |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => CacheAllCompartments |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => UseNewRegistration |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => ResolverRegistration |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => ResolverRegistrationOnly |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000498 ObjectAttributes => System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000498 ValueName => SystemSetupInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DnsQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DnsQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DnsQuickQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DnsQuickQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\System\DNSClient |
FAILURE | 0xc0000034 | |
| 23:22:10,093 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,093 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,093 | 2772 | LdrLoadDll |
Flags => 1632660 BaseAddress => 0x74910000 FileName => iphlpapi.dll |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetAdaptersAddresses FunctionAddress => 0x74919451 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:10,093 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\x18O*\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\x18O*\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc8\xe8\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc8\xe8\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,093 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00t\x1e*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,093 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00t\x1e*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,093 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x04!*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x04!*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x94#*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x94#*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00$&*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00$&*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xb4(*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xb4(*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00D+*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00D+*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xd4-*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xd4-*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00d0*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00d0*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xf42*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xf42*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => SearchList |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe4\xe3\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe4\xe3\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000049c ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000049c ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x0000049c ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000049c ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000049c ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000049c ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000049c ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000049c ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x0000049c ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x0000049c ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x0000049c |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x0000049c OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x84}*\x00\x148*\x00\x0f\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x84}*\x00\x148*\x00\x0f\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x84}*\x00\xa4:*\x00\x0b\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x84}*\x00\xa4:*\x00\x0b\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe4\xe3\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe4\xe3\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000498 ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | 1 time |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xc4?*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xc4?*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00TB*\x00\x0f\x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00TB*\x00\x0f\x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xe4D*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xe4D*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00tG*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00tG*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\x98 *\x00\x08\x00\x00\x00`
*\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\x98 *\x00\x08\x00\x00\x00` *\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x80g(\x00\x10\x00\x00\x00\x08"'\x00\x18\x00\x00\x00`
*\x00\x08\x00\x00\x00\x98 *\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x80g(\x00\x10\x00\x00\x00\x08"'\x00\x18\x00\x00\x00` *\x00\x08\x00\x00\x00\x98 *\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x008\x95(\x00H\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x008\x95(\x00H\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x10\x80*\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x10\x80*\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Linkage |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000498 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000498 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => QueryAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DisableAdapterDomainName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000498 ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000498 ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegistrationMaxAddressCount |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => MaxNumberOfAddressesToRegister |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => EnableMulticast |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000498 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\xe7\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\xe7\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe0\xe7\x18\x00\x04\x00\x00\x00\x02\x00\x00\x00,\xe8\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe0\xe7\x18\x00\x04\x00\x00\x00\x02\x00\x00\x00,\xe8\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00,\xe8\x18\x00\x08\x00\x00\x004\xe8\x18\x00\xb8\x00\x00\x00\xf4\xe7\x18\x00(\x00\x00\x00\x1c\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00,\xe8\x18\x00\x08\x00\x00\x004\xe8\x18\x00\xb8\x00\x00\x00\xf4\xe7\x18\x00(\x00\x00\x00\x1c\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xa8\xe7\x18\x00\x08\x00\x00\x00\x02\x00\x00\x00\x1c\xe9\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xa8\xe7\x18\x00\x08\x00\x00\x00\x02\x00\x00\x00\x1c\xe9\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => QueryAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DisableAdapterDomainName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DisableDynamicUpdate |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => EnableAdapterDomainNameRegistration |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegistrationMaxAddressCount |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => MaxNumberOfAddressesToRegister |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => EnableMulticast |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x14\xe9\x18\x00 \x00\x00\x00\x01\x00\x00\x00\xa4\xe9\x18\x00\x04\x00\x00\x00X\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x14\xe9\x18\x00 \x00\x00\x00\x01\x00\x00\x00\xa4\xe9\x18\x00\x04\x00\x00\x00X\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => SearchList Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000494 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000494 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000490 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000494 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\System\DNSClient |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000494 ObjectAttributes => SYSTEM\CurrentControlSet\Services\NetBT\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => NodeType |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DhcpNodeType |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => ScopeId |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DhcpScopeId |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => EnableProxy |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => EnableDns |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x06\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x\xea\x18\x00t\x00\x00\x00\x84\xe9\x18\x00\xd0\x00\x00\x00t\xea\x18\x00\x04\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x06\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x\xea\x18\x00t\x00\x00\x00\x84\xe9\x18\x00\xd0\x00\x00\x00t\xea\x18\x00\x04\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00p\xea\x18\x00\x04\x00\x00\x00d\xea\x18\x00\x0c\x00\x00\x00T\xea\x18\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00p\xea\x18\x00\x04\x00\x00\x00d\xea\x18\x00\x0c\x00\x00\x00T\xea\x18\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => LocalAlloc FunctionAddress => 0x767e0594 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000494 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => System\CurrentControlSet\Services\DNS |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => QueryAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DisableAdapterDomainName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => UseDomainNameDevolution |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000494 ValueName => UseDomainNameDevolution Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DomainNameDevolutionLevel |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => PrioritizeRecordData |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => PrioritizeRecordData |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => AllowUnqualifiedQuery |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => AllowUnqualifiedQuery |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => AppendToMultiLabelName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => ScreenBadTlds |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => ScreenUnreachableServers |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => ScreenDefaultServers |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DynamicServerQueryOrder |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => FilterClusterIp |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => WaitForNameErrorOnAll |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => UseEdns |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DnsSecureNameQueryFallback |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => EnableDAForAllNetworks |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DirectAccessQueryOrder |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => QueryIpMatching |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => UseHostsFile |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => AddrConfigControl |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DisableDynamicUpdate |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegisterPrimaryName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => EnableAdapterDomainNameRegistration |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegisterReverseLookup |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DisableReverseAddressRegistrations |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegisterWanAdapters |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DisableWanDynamicUpdate |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegistrationTtl |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DefaultRegistrationTTL |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegistrationRefreshInterval |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DefaultRegistrationRefreshInterval |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegistrationMaxAddressCount |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => MaxNumberOfAddressesToRegister |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => UpdateSecurityLevel |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => UpdateSecurityLevel |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => UpdateTopLevelDomainZones |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DowncaseSpnCauseApiOwnerIsTooLazy |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => RegistrationOverwrite |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => MaxCacheSize |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => MaxCacheTtl |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => MaxNegativeCacheTtl |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => AdapterTimeoutLimit |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => ServerPriorityTimeLimit |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => MaxCachedSockets |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => EnableMulticast |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => MulticastResponderFlags |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => MulticastSenderFlags |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => MulticastSenderMaxTimeout |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DnsTest |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => UseCompartments |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => CacheAllCompartments |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => UseNewRegistration |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => ResolverRegistration |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => ResolverRegistrationOnly |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000498 ObjectAttributes => System\Setup |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000498 ValueName => SystemSetupInProgress Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DnsQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DnsQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DnsQuickQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000494 ValueName => DnsQuickQueryTimeouts |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\System\DNSClient |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000494 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000494 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | LdrLoadDll |
Flags => 1632660 BaseAddress => 0x74910000 FileName => iphlpapi.dll |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetAdaptersAddresses FunctionAddress => 0x74919451 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\x18O*\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\x18O*\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc8\xe8\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xc8\xe8\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00t\x1e*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00t\x1e*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x04!*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x04!*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x94#*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x94#*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00$&*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00$&*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xb4(*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xb4(*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00D+*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00D+*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xd4-*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xd4-*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00d0*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00d0*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xf42*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xf42*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x00\x00\x00\x00\x98\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => SearchList |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe4\xe3\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe4\xe3\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x0000049c ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000049c ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x0000049c ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x0000049c ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x0000049c ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000049c ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000049c ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
KeyHandle => 0x0000049c ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x0000049c ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtQueryValueKey |
Information => 8\x00.\x008\x00.\x008\x00.\x008\x00,\x008\x00.\x008\x00.\x004\x00.\x004\x00\x00\x00 KeyHandle => 0x0000049c ValueName => NameServer Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,103 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x0000049c |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x0000049c OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x84}*\x00\x148*\x00\x0f\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x84}*\x00\x148*\x00\x0f\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,103 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x84}*\x00\xa4:*\x00\x0b\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\x84}*\x00\xa4:*\x00\x0b\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x0000049c ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe4\xe3\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe4\xe3\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000498 ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | 1 time |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => NameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpNameServer |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xc4?*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xc4?*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00TB*\x00\x0f\x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00TB*\x00\x0f\x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xe4D*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xe4D*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00tG*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xc0\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\xfc\xe7\x18\x00\x08\x00\x00\x00\x04\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xf0\xe7\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00tG*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01X\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\x90\xe8\x18\x00|\xe8\x18\x00.7\x91t \xe9\x18\x00&\x00\x00\x00\x88{\x91t\x90\xe8\x18\x00\x8c\xe9\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x98 *\x00\x08\x00\x00\x00`
*\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x98 *\x00\x08\x00\x00\x00` *\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x10h(\x00\x10\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00`
*\x00\x08\x00\x00\x00\x98 *\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x10h(\x00\x10\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00` *\x00\x08\x00\x00\x00\x98 *\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x008\x95(\x00H\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x008\x95(\x00H\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x05\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x10\x80*\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x10\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x10\x80*\x000\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0b\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Linkage |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:10,113 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000498 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:10,113 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x00000498 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => QueryAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DisableAdapterDomainName |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x00000498 ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x00000498 ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegistrationMaxAddressCount |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => MaxNumberOfAddressesToRegister |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => EnableMulticast |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000498 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\xe7\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\xe7\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe0\xe7\x18\x00\x04\x00\x00\x00\x02\x00\x00\x00,\xe8\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xe0\xe7\x18\x00\x04\x00\x00\x00\x02\x00\x00\x00,\xe8\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00,\xe8\x18\x00\x08\x00\x00\x004\xe8\x18\x00\xb8\x00\x00\x00\xf4\xe7\x18\x00(\x00\x00\x00\x1c\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00,\xe8\x18\x00\x08\x00\x00\x004\xe8\x18\x00\xb8\x00\x00\x00\xf4\xe7\x18\x00(\x00\x00\x00\x1c\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xa8\xe7\x18\x00\x08\x00\x00\x00\x02\x00\x00\x00\x1c\xe9\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\xa8\xe7\x18\x00\x08\x00\x00\x00\x02\x00\x00\x00\x1c\xe9\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000498 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => QueryAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DisableAdapterDomainName |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DisableDynamicUpdate |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => EnableAdapterDomainNameRegistration |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => RegistrationMaxAddressCount |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => MaxNumberOfAddressesToRegister |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => EnableMulticast |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000498 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x14\xe9\x18\x00 \x00\x00\x00\x01\x00\x00\x00\xa4\xe9\x18\x00\x04\x00\x00\x00X\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x14\xe9\x18\x00 \x00\x00\x00\x01\x00\x00\x00\xa4\xe9\x18\x00\x04\x00\x00\x00X\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000494 ValueName => SearchList Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,113 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000490 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000494 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,113 | 2772 | NtCreateKey |
ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters DesiredAccess => 131097 KeyHandle => 0x00000494 Class => Class |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => System\CurrentControlSet\Services\DnsCache\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\Windows NT\DnsClient |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x00000000 ObjectAttributes => Software\Policies\Microsoft\System\DNSClient |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000494 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,113 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => SYSTEM\CurrentControlSet\Services\NetBT\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => NodeType |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DhcpNodeType |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => ScopeId |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => DhcpScopeId |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => EnableProxy |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtQueryValueKey |
KeyHandle => 0x00000490 ValueName => EnableDns |
FAILURE | 0xc0000034 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x06\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x\xea\x18\x00t\x00\x00\x00\x84\xe9\x18\x00\xd0\x00\x00\x00t\xea\x18\x00\x04\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x06\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00x\xea\x18\x00t\x00\x00\x00\x84\xe9\x18\x00\xd0\x00\x00\x00t\xea\x18\x00\x04\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00p\xea\x18\x00\x04\x00\x00\x00d\xea\x18\x00\x0c\x00\x00\x00T\xea\x18\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x02\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00p\xea\x18\x00\x04\x00\x00\x00d\xea\x18\x00\x0c\x00\x00\x00T\xea\x18\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,113 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => inet_addr FunctionAddress => 0x76953234 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:10,133 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x00000490 | |
| 23:22:10,133 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x00000494 | |
| 23:22:10,133 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => getaddrinfo FunctionAddress => 0x76956737 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:10,133 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => freeaddrinfo FunctionAddress => 0x76956387 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:10,163 | 2772 | getaddrinfo |
ServiceName => NodeName => net2110estcarina.com |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | WSASocketW |
type => 2 protocol => 0 af => 2 |
SUCCESS | 0x00000498 | |
| 23:22:10,173 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x00000498 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | WSASocketW |
type => 2 protocol => 0 af => 23 |
SUCCESS | 0x000004a0 | |
| 23:22:10,173 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004a0 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x90\xea\x18\x00\x02\x00\x00\x00\xb4 \x01\x00\x00\x00\x00\x00\x00\x10\x00\x00 FileHandle => 0x00000498 OutputBuffer => |
FAILURE | 0xc00000a3 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xe4\xea\x18\x00\x01Q(\x00\x00\x00\x00\x00 FileHandle => 0x00000498 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x9c\x04\x00\x00\x00\x10\x00\x00 FileHandle => 0x00000498 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x90\xea\x18\x00\x02\x00\x00\x00\xb4 \x01\x00\x00\x00\x00\x00\x00\x10\x00\x00 FileHandle => 0x000004a0 OutputBuffer => |
FAILURE | 0xc00000a3 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xe4\xea\x18\x00\x01Q(\x00\x00\x00\x00\x00 FileHandle => 0x000004a0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \xa4\x04\x00\x00\x00\x10\x00\x00 FileHandle => 0x000004a0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetAdaptersAddresses FunctionAddress => 0x74919451 ModuleHandle => 0x74910000 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\x18O*\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\x18O*\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xfc\xe8\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xfc\xe8\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00t\x1e*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00t\x1e*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x04!*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x04!*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x94#*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x94#*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00$&*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00$&*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xb4(*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xb4(*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00D+*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00D+*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xd4-*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xd4-*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00d0*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00d0*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xf42*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xf42*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00<\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00<\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000004ac ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x000004ac ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004ac ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000004ac ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x000004ac ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004ac ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004ac ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004ac ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004ac ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x000004ac |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x000004ac OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x84}*\x00\x148*\x00\x0f\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x84}*\x00\x148*\x00\x0f\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x84}*\x00\xa4:*\x00\x0b\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x84}*\x00\xa4:*\x00\x0b\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004ac ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00<\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00<\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000004a8 ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xc4?*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xc4?*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00TB*\x00\x0f\x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00TB*\x00\x0f\x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xe4D*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xe4D*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00tG*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00tG*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\x18\x0c*\x00\x08\x00\x00\x00\xc8\x0b*\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\x18\x0c*\x00\x08\x00\x00\x00\xc8\x0b*\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x80g(\x00\x10\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\xc8\x0b*\x00\x08\x00\x00\x00\x18\x0c*\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x80g(\x00\x10\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\xc8\x0b*\x00\x08\x00\x00\x00\x18\x0c*\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000105 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\x18O*\x008\x02\x00\x00\x11\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x01\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00 9(\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00`\x1e*\x00\x90\x02\x00\x00\x18O*\x008\x02\x00\x00\x11\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xfc\xe8\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00|4\x91t\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xfc\xe8\x18\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00t\x1e*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00t\x1e*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x00\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x003\x163\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x00\x00\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x04!*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x04!*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x01\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wM\x03\x00\x00X\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x008\x02\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x94#*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\x94#*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x02\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xc5\x03\x00\x00\xd0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00p\x04\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00$&*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00$&*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x03\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xcd\x03\x00\x00\xd8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xa8\x06\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xb4(*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xb4(*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x04\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xe0\x08\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00D+*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00D+*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x05\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9f\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x18\x0b\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xd4-*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xd4-*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x06\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$wS\x03\x00\x00`\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00P \x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00d0*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00d0*\x00 \x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x07\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\x9b\x03\x00\x00\xa8\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\x88\x0f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xf42*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x1cz*\x00\xf42*\x00\x0b\x00\x00\x00Hy*\x00Hy*\x00\x00\x00\x00\x08\x00\x00\x06\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w\xb5\x03\x00\x00\xc0\x03\x00\x00By*\x00@y*\x00\xb6\x02\x00\x00\xc0\x11\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x00\x00\x00\x00\xcc\xe8\x18\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00<\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00<\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000004ac ObjectAttributes => {0aa2f3f6-6018-4dd7-bf2c-bc83d878cd68} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x000004ac ValueName => EnableDhcp Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004ac ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000004ac ValueName => RegistrationEnabled Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => 0 KeyHandle => 0x000004ac ValueName => RegisterAdapterName Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004ac ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004ac ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004ac ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004ac ValueName => Dhcpv6Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x000004ac |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => FileHandle => 0x000004ac OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x84}*\x00\x148*\x00\x0f\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x84}*\x00\x148*\x00\x0f\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x00\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x006\x000\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x000\x16\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x000\x16\x00\x00\xa0\x19\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x84}*\x00\xa4:*\x00\x0b\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\x84}*\x00\xa4:*\x00\x0b\x00\x00\x00\xb0|*\x00\xb0|*\x00\x00\x00\x00\x01\x00\x00\x17\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w5\x03\x00\x00@\x03\x00\x00\xaa|*\x00\xa8|*\x00\xb6\x02\x00\x00h\x18\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00h\x18\x00\x000\x1c\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004ac ObjectAttributes => System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00<\xe4\x18\x008\x02\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa4\x1d\x90s\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x18\xe4\x18\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00<\xe4\x18\x008\x02\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 1 KeyHandle => 0x000004a8 ObjectAttributes => {e29ac6c2-7037-11de-816d-806e6f6e6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => EnableDhcp |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => RegistrationEnabled |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => RegisterAdapterName |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => Domain |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => DhcpDomain |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\Interfaces\{E29AC6C2-7037-11DE-816D-806E6F6E6963} |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtCreateFile |
ShareAccess => 3 FileName => C:\DEVICE\NETBT_TCPIP_{E29AC6C2-7037-11DE-816D-806E6F6E6963} DesiredAccess => 0x00100001 CreateDisposition => 1 FileHandle => 0x00000000 |
FAILURE | 0xc0000034 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xc4?*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xc4?*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x00\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x007\x000\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w3\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\xd8\x1c\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\xd8\x1c\x00\x00P!\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00TB*\x00\x0f\x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00TB*\x00\x0f\x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x01\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w9\x03\x00\x00H\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x10\x1f\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x10\x1f\x00\x00\xe0#\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xe4D*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00\xe4D*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x02\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00H!\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00H!\x00\x00p&\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\xfc4\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00tG*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t\x07\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xf4\xe8\x18\x00\xe7\x82\x91t\x01\x00\x00\x00\x9c5\x91t\x07\x00\x00\x000\xe8\x18\x00\x08\x00\x00\x008\xe8\x18\x00\xb8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00$\xe8\x18\x00\x0c\x00\x00\x00\xe4\x80*\x00tG*\x00 \x00\x00\x00\x10\x80*\x00\x10\x80*\x00\x00\x00\x00\x03\x00\x00\x83\x00\xbc\xc7\x12\x00\x00\x00\x1f\x00\xca4$\x01\x8c\xe7\x18\x00&\x00\x00\x00\xe0\xef\x18\x00M\xd7 w\x86\x89\x01\x00\xfe\xff\xff\xff\x9f4$w\xca4$w7\x03\x00\x00@\x03\x00\x00 \x80*\x00\x08\x80*\x00\xb6\x02\x00\x00\x80#\x00\x00'\x00\x00\x00\x88{\x91t\x00\x00\x00\x00\xc4\xe8\x18\x00\xb0\xe8\x18\x00.7\x91tT\xe9\x18\x00&\x00\x00\x00\x88{\x91t\xc4\xe8\x18\x00\xc0\xe9\x18\x00\x80#\x00\x00\x00)\x00\x00 |
FAILURE | 0xc0000225 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\xc8\x0b*\x00\x08\x00\x00\x00\x18\x0c*\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x9c5\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x08"'\x00\x18\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\xc8\x0b*\x00\x08\x00\x00\x00\x18\x0c*\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t
\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x10h(\x00\x10\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x18\x0c*\x00\x08\x00\x00\x00\xc8\x0b*\x00\x08\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000003e4 OutputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xfc4\x91t \x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x00\x10h(\x00\x10\x00\x00\x00\xa0!'\x00\x18\x00\x00\x00\x18\x0c*\x00\x08\x00\x00\x00\xc8\x0b*\x00\x08\x00\x00\x00\x02\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => SYSTEM\CurrentControlSet\Services\Tcpip\Linkage |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x000004a8 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtQueryValueKey |
KeyHandle => 0x000004a8 ValueName => Bind |
FAILURE | 0x80000005 | 1 time |
| 23:22:10,173 | 2772 | NtQueryValueKey |
Information => KeyHandle => 0x000004a8 ValueName => Bind Type => 7 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WSAConnect FunctionAddress => 0x7695bb9b ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0V\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => \x02\x00\xc0V\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:10,173 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x80\xea\x18\x00\x02\x00\xc0V\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,183 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa0\xea\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:10,183 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0V\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,183 | 2772 | closesocket |
socket => 0x00000494 |
SUCCESS | 0x00000000 | |
| 23:22:10,183 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => send FunctionAddress => 0x7695c4c8 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:10,183 | 2772 | send |
buffer => socket => 0x00000490 |
FAILURE | 0xffffffff | |
| 23:22:10,183 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => WSAEventSelect FunctionAddress => 0x76956a10 ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:10,183 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\x04\xeb\x18\x00\x01R(\x00\x00\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,183 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,183 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:10,223 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EventRegister FunctionAddress => 0x77255a12 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => shutdown FunctionAddress => 0x7695693e ModuleHandle => 0x76950000 |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | shutdown |
how => 2 socket => 0x00000490 |
FAILURE | 0xffffffff | |
| 23:22:10,263 | 2772 | setsockopt |
socket => 0x00000490 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | closesocket |
socket => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x00000490 | |
| 23:22:10,263 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004a8 | |
| 23:22:10,263 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0W\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => \x02\x00\xc0W\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:10,263 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x80\xea\x18\x00\x02\x00\xc0W\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa0\xea\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:10,263 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0W\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | send |
buffer => socket => 0x00000490 |
FAILURE | 0xffffffff | |
| 23:22:10,263 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\x04\xeb\x18\x00\x01R(\x00\x00\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x00000490 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | shutdown |
how => 2 socket => 0x00000490 |
FAILURE | 0xffffffff | |
| 23:22:10,263 | 2772 | setsockopt |
socket => 0x00000490 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:10,263 | 2772 | closesocket |
socket => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:10,273 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:10,273 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:10,273 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2772 | CreateThread |
ThreadId => 2064 StartRoutine => 0x71ba2f1a Parameter => 0x0018ead8 CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:10,273 | 2064 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2064 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2064 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2064 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2064 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2064 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2064 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:10,273 | 2064 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:10,273 | 2064 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:11,275 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:11,275 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:11,275 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 2772 | CreateThread |
ThreadId => 248 StartRoutine => 0x71ba2f1a Parameter => 0x0018ead8 CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:11,275 | 248 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 248 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 248 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 248 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 248 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 248 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 248 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,275 | 248 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:11,275 | 248 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | CreateThread |
ThreadId => 1280 StartRoutine => 0x71ba2f1a Parameter => 0x0018ead8 CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:11,285 | 1280 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 1280 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 1280 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 1280 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 1280 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 1280 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 1280 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 1280 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:11,285 | 1280 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:11,285 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 2772 | CreateThread |
ThreadId => 1308 StartRoutine => 0x71ba2f1a Parameter => 0x0018eaec CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:11,285 | 1308 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,285 | 1308 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,295 | 1308 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,295 | 1308 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,295 | 1308 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:11,295 | 1308 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,295 | 1308 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:11,295 | 1308 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:11,295 | 1308 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.10.0.Microsoft.VisualBasic__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.10.0.Microsoft.VisualBasic__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => NI\1c22df2f\6ae28f47 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegEnumKeyExW |
Index => 0 Handle => 0x00000490 Name => 2e Class => |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegEnumKeyExW |
Index => 1 Handle => 0x00000490 Name => 2e Class => |
FAILURE | 0x00000103 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => NI\1c22df2f\6ae28f47\2e |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00V\x00i\x00s\x00u\x00a\x00l\x00B\x00a\x00s\x00i\x00c\x00,\x001\x000\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => 4361 ValueName => ConfigMask |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => \x00\x00 ValueName => ConfigString |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => MVID |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => NI\1c22df2f\6ae28f47\2e |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 1024 ValueName => EvalationData Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => 0 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => ILDependencies |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => NIDependencies |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 1024 ValueName => MissingDependencies Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => IL\27e1f7e2\4e1b5ff2\26 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00W\x00i\x00n\x00d\x00o\x00w\x00s\x00.\x00F\x00o\x00r\x00m\x00s\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => IL\910bc3f\306db89e\11 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00D\x00r\x00a\x00w\x00i\x00n\x00g\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => IL\58364143\24da33f5\15 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00D\x00e\x00p\x00l\x00o\x00y\x00m\x00e\x00n\x00t\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => IL\3d37e654\7e3a5608\10 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00X\x00m\x00l\x00.\x00L\x00i\x00n\x00q\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => IL\2ab76b15\635d73e9\46 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => S\x00y\x00s\x00t\x00e\x00m\x00.\x00R\x00u\x00n\x00t\x00i\x00m\x00e\x00.\x00R\x00e\x00m\x00o\x00t\x00i\x00n\x00g\x00,\x004\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x007\x007\x00a\x005\x00c\x005\x006\x001\x009\x003\x004\x00e\x000\x008\x009\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x000001bc SubKey => IL\6ae28f47\f854f2d\47 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00.\x00V\x00i\x00s\x00u\x00a\x00l\x00B\x00a\x00s\x00i\x00c\x00,\x001\x000\x00.\x000\x00.\x000\x00.\x000\x00,\x00,\x00b\x000\x003\x00f\x005\x00f\x007\x00f\x001\x001\x00d\x005\x000\x00a\x003\x00a\x00\x00\x00 ValueName => DisplayName |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => 4098 ValueName => Status |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 1024 ValueName => Modules Type => 0 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => SIG |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => TargetedPatchBand |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => ValueName => LastModTime |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegCloseKey |
Handle => 0x00000490 |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.10.0.Microsoft.VisualBasic__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.10.0.Microsoft.VisualBasic__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => Microsoft.VisualBasic,10.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Windows.Forms__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Windows.Forms__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Windows.Forms__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Windows.Forms__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Windows.Forms,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Drawing__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Drawing__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Drawing__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Drawing__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Drawing,4.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Deployment__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Deployment__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Deployment__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Deployment__b03f5f7f11d50a3a |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Deployment,4.0.0.0,,b03f5f7f11d50a3a,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Xml.Linq__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Xml.Linq__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Xml.Linq__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Xml.Linq__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Xml.Linq,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Runtime.Remoting__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Runtime.Remoting__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.4.0.System.Runtime.Remoting__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.4.0.System.Runtime.Remoting__b77a5c561934e089 |
FAILURE | 0x00000002 | |
| 23:22:12,296 | 2772 | RegQueryValueExW |
Handle => 0x00000138 Data => ValueName => System.Runtime.Remoting,4.0.0.0,,b77a5c561934e089,MSIL |
SUCCESS | 0x00000000 | |
| 23:22:12,386 | 2772 | LdrLoadDll |
Flags => 1619980 BaseAddress => 0x65e70000 FileName => C:\Windows\assembly\NativeImages_v4.0.30319_32\Microsoft.VisualBas#\e8ab3b63bade82c3522613f2b1240c0d\Microsoft.VisualBasic.ni.dll |
SUCCESS | 0x00000000 | |
| 23:22:12,386 | 2772 | FindFirstFileExW |
FileName => C:\Windows\Microsoft.Net\assembly\GAC_MSIL\Microsoft.VisualBasic\v4.0_10.0.0.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.INI |
SUCCESS | 0xffffffff | |
| 23:22:12,426 | 2772 | LdrLoadDll |
Flags => 1630660 BaseAddress => 0x76790000 FileName => Kernel32.dll |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GlobalMemoryStatusEx FunctionAddress => 0x767ce5c0 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GlobalMemoryStatusExW FunctionAddress => 0x0018e931 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:12,426 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:12,426 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:12,426 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:12,426 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 2772 | CreateThread |
ThreadId => 1484 StartRoutine => 0x71ba2f1a Parameter => 0x0018eaec CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:12,426 | 1484 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 1484 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 1484 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 1484 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 1484 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 1484 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 1484 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,426 | 1484 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:12,426 | 1484 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:12,436 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:12,436 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x00000490 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:12,436 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000490 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x00000490 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 2772 | CreateThread |
ThreadId => 676 StartRoutine => 0x71ba2f1a Parameter => 0x0018eae8 CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:12,436 | 676 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 676 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 676 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 676 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 676 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 676 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 676 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,436 | 676 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:12,436 | 676 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegOpenKeyExW |
Handle => 0x00000492 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegQueryValueExW |
Handle => 0x00000492 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegCloseKey |
Handle => 0x00000492 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegOpenKeyExW |
Handle => 0x00000490 Registry => 0x80000002 SubKey => Hardware\Description\System\CentralProcessor\0 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegQueryValueExW |
Handle => 0x00000490 DataLength => 66 ValueName => Identifier Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegQueryValueExW |
Handle => 0x00000490 Data => x\x008\x006\x00 \x00F\x00a\x00m\x00i\x00l\x00y\x00 \x006\x00 \x00M\x00o\x00d\x00e\x00l\x00 \x006\x009\x00 \x00S\x00t\x00e\x00p\x00p\x00i\x00n\x00g\x00 \x001\x00\x00\x00 ValueName => Identifier |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x000004a8 | |
| 23:22:12,446 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004b0 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0X\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \xce \x00 FileHandle => 0x000004a8 OutputBuffer => \x02\x00\xc0X\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x88\xea\x18\x00\x02\x00\xc0X\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xea\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0X\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | closesocket |
socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | send |
buffer => socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\x0c\xeb\x18\x00\x01Y(\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | shutdown |
how => 2 socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:12,446 | 2772 | setsockopt |
socket => 0x000004a8 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x000004a8 | |
| 23:22:12,446 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004b0 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0Y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \xce \x00 FileHandle => 0x000004a8 OutputBuffer => \x02\x00\xc0Y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x88\xea\x18\x00\x02\x00\xc0Y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\xa8\xea\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0Y\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | closesocket |
socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | send |
buffer => socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\x0c\xeb\x18\x00\x01Y(\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | shutdown |
how => 2 socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:12,446 | 2772 | setsockopt |
socket => 0x000004a8 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegOpenKeyExW |
Handle => 0x000004a8 Registry => 0x80000002 SubKey => SYSTEM\CurrentControlSet\Control\Terminal Server |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegQueryValueExW |
Handle => 0x000004a8 DataLength => 4 ValueName => fDenyTSConnections Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueEx FunctionAddress => 0x649fad62 ModuleHandle => 0x76550000 |
FAILURE | 0xc0000139 | |
| 23:22:12,446 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => RegQueryValueExW FunctionAddress => 0x7656bcd5 ModuleHandle => 0x76550000 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegQueryValueExW |
Handle => 0x000004a8 Data => 1 ValueName => fDenyTSConnections |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegCloseKey |
Handle => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegOpenKeyExW |
Handle => 0x000004aa Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegQueryValueExW |
Handle => 0x000004aa DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | RegCloseKey |
Handle => 0x000004aa |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:12,446 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004a8 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:12,446 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004a8 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004a8 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:12,446 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004a8 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:12,446 | 2772 | CreateThread |
ThreadId => 1728 StartRoutine => 0x71ba2f1a Parameter => 0x0018eac0 CreationFlags => 0 |
SUCCESS | 0x000004b0 | |
| 23:22:12,456 | 1728 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,456 | 1728 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,456 | 1728 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,456 | 1728 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,456 | 1728 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:12,456 | 1728 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,456 | 1728 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:12,456 | 1728 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:12,456 | 1728 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | RegOpenKeyExW |
Handle => 0x000004aa Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | RegQueryValueExW |
Handle => 0x000004aa DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | RegCloseKey |
Handle => 0x000004aa |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | RegOpenKeyExW |
Handle => 0x000004aa Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | RegQueryValueExW |
Handle => 0x000004aa DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | RegCloseKey |
Handle => 0x000004aa |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:13,458 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004a8 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:13,458 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004a8 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004a8 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:13,458 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004a8 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 2772 | CreateThread |
ThreadId => 888 StartRoutine => 0x71ba2f1a Parameter => 0x0018eac0 CreationFlags => 0 |
SUCCESS | 0x000004b0 | |
| 23:22:13,458 | 888 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 888 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 888 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 888 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 888 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 888 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 888 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,458 | 888 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:13,458 | 888 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegOpenKeyExW |
Handle => 0x000004aa Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegQueryValueExW |
Handle => 0x000004aa DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegCloseKey |
Handle => 0x000004aa |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegOpenKeyExW |
Handle => 0x000004aa Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegQueryValueExW |
Handle => 0x000004aa DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegCloseKey |
Handle => 0x000004aa |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:13,468 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004a8 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:13,468 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004a8 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004a8 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:13,468 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004a8 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004a8 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | CreateThread |
ThreadId => 252 StartRoutine => 0x71ba2f1a Parameter => 0x0018eac0 CreationFlags => 0 |
SUCCESS | 0x000004b0 | |
| 23:22:13,468 | 252 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 252 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 252 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 252 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 252 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 252 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 252 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 252 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:13,468 | 252 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegOpenKeyExW |
Handle => 0x000004aa Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegQueryValueExW |
Handle => 0x000004aa DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | RegCloseKey |
Handle => 0x000004aa |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x000004a8 | |
| 23:22:13,468 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004b0 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0Z\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \xce \x00 FileHandle => 0x000004a8 OutputBuffer => \x02\x00\xc0Z\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00p\xea\x18\x00\x02\x00\xc0Z\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x90\xea\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0Z\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | closesocket |
socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | send |
buffer => socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xf4\xea\x18\x00\x01\xc2+\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | shutdown |
how => 2 socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:13,468 | 2772 | setsockopt |
socket => 0x000004a8 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x000004a8 | |
| 23:22:13,468 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004b0 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0[\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \xce \x00 FileHandle => 0x000004a8 OutputBuffer => \x02\x00\xc0[\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00p\xea\x18\x00\x02\x00\xc0[\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x90\xea\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0[\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | closesocket |
socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | send |
buffer => socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xf4\xea\x18\x00\x01\xc2+\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | shutdown |
how => 2 socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:13,468 | 2772 | setsockopt |
socket => 0x000004a8 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:13,468 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00600000 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x000004a8 | |
| 23:22:13,478 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004b0 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0\\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \xce \x00 FileHandle => 0x000004a8 OutputBuffer => \x02\x00\xc0\\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x004\xea\x18\x00\x02\x00\xc0\\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00T\xea\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0\\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | closesocket |
socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | send |
buffer => socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xb8\xea\x18\x00\x01\xc2+\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | shutdown |
how => 2 socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:13,478 | 2772 | setsockopt |
socket => 0x000004a8 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x000004a8 | |
| 23:22:13,478 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004b0 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0]\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \xce \x00 FileHandle => 0x000004a8 OutputBuffer => \x02\x00\xc0]\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x004\xea\x18\x00\x02\x00\xc0]\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00T\xea\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0]\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | closesocket |
socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | send |
buffer => socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xb8\xea\x18\x00\x01\xc2+\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004a8 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | shutdown |
how => 2 socket => 0x000004a8 |
FAILURE | 0xffffffff | |
| 23:22:13,478 | 2772 | setsockopt |
socket => 0x000004a8 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ExpandEnvironmentStrings FunctionAddress => 0x65168a6d ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:13,478 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => ExpandEnvironmentStringsW FunctionAddress => 0x767db606 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetLongPathName FunctionAddress => 0x649fae08 ModuleHandle => 0x76790000 |
FAILURE | 0xc0000139 | |
| 23:22:13,478 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetLongPathNameW FunctionAddress => 0x767e41d9 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | FindFirstFileExW |
FileName => C:\Users |
SUCCESS | 0x0021a488 | |
| 23:22:13,478 | 2772 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1 |
SUCCESS | 0x0021a488 | |
| 23:22:13,478 | 2772 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData |
SUCCESS | 0x0021a488 | |
| 23:22:13,478 | 2772 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local |
SUCCESS | 0x0021a488 | |
| 23:22:13,478 | 2772 | FindFirstFileExW |
FileName => C:\Users\ADMINI~1\AppData\Local\Temp |
SUCCESS | 0x0021a488 | |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.6.0.Newtonsoft.Json__30ad4fe6b2a6aeed |
FAILURE | 0x00000002 | |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.6.0.Newtonsoft.Json__30ad4fe6b2a6aeed |
FAILURE | 0x00000002 | |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001bc SubKey => NI\3175ab79\8eb3a7b |
FAILURE | 0x00000002 | 1 time |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Managed\S-1-5-21-4043008248-2851492338-1992526481-500\Installer\Assemblies\C:|Users|Administrator|AppData|Roaming|svchost.exe |
FAILURE | 0x00000002 | |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Installer\Assemblies\C:|Users|Administrator|AppData|Roaming|svchost.exe |
FAILURE | 0x00000002 | |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => SOFTWARE\Classes\Installer\Assemblies\C:|Users|Administrator|AppData|Roaming|svchost.exe |
FAILURE | 0x00000002 | |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Managed\S-1-5-21-4043008248-2851492338-1992526481-500\Installer\Assemblies\Global |
FAILURE | 0x00000002 | |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000001 SubKey => Software\Microsoft\Installer\Assemblies\Global |
FAILURE | 0x00000002 | |
| 23:22:13,478 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x80000002 SubKey => SOFTWARE\Classes\Installer\Assemblies\Global |
FAILURE | 0x00000002 | |
| 23:22:13,478 | 2772 | NtCreateFile |
ShareAccess => 5 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorrc.dll DesiredAccess => 0x80100080 CreateDisposition => 1 FileHandle => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0005 SectionHandle => 0x000004b0 FileHandle => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:13,478 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x00000000 SectionHandle => 0x000004b0 ProcessHandle => 0xffffffff BaseAddress => 0x00960000 |
SUCCESS | 0x00000000 | |
| 23:22:13,498 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00610000 |
SUCCESS | 0x00000000 | |
| 23:22:13,498 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00640000 |
SUCCESS | 0x00000000 | |
| 23:22:13,498 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00610000 |
SUCCESS | 0x00000000 | 24 times |
| 23:22:13,508 | 2772 | NtCreateSection |
ObjectAttributes => DesiredAccess => 0x000f0007 SectionHandle => 0x000004b0 FileHandle => 0x00000000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | ZwMapViewOfSection |
SectionOffset => 0x0018b710 SectionHandle => 0x000004b0 ProcessHandle => 0xffffffff BaseAddress => 0x01bb0000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => SOFTWARE\Microsoft\Cryptography\Defaults\Provider Types\Type 001 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | NtQueryValueKey |
Information => M\x00i\x00c\x00r\x00o\x00s\x00o\x00f\x00t\x00 \x00S\x00t\x00r\x00o\x00n\x00g\x00 \x00C\x00r\x00y\x00p\x00t\x00o\x00g\x00r\x00a\x00p\x00h\x00i\x00c\x00 \x00P\x00r\x00o\x00v\x00i\x00d\x00e\x00r\x00\x00\x00 KeyHandle => 0x000004b0 ValueName => Name Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:13,508 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Strong Cryptographic Provider |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | NtQueryValueKey |
Information => 1 KeyHandle => 0x000004b0 ValueName => Type Type => 4 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | NtQueryValueKey |
Information => %\x00S\x00y\x00s\x00t\x00e\x00m\x00R\x00o\x00o\x00t\x00%\x00\\x00s\x00y\x00s\x00t\x00e\x00m\x003\x002\x00\\x00r\x00s\x00a\x00e\x00n\x00h\x00.\x00d\x00l\x00l\x00\x00\x00 KeyHandle => 0x000004b0 ValueName => Image Path Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:13,508 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x74b60000 FileName => C:\Windows\system32\rsaenh.dll |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPAcquireContext FunctionAddress => 0x74b646b8 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPReleaseContext FunctionAddress => 0x74b65a18 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGenKey FunctionAddress => 0x74b6b4f5 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDeriveKey FunctionAddress => 0x74b88201 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDestroyKey FunctionAddress => 0x74b677fc ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetKeyParam FunctionAddress => 0x74b74c92 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetKeyParam FunctionAddress => 0x74b74d62 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPExportKey FunctionAddress => 0x74b67e48 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPImportKey FunctionAddress => 0x74b6793b ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPEncrypt FunctionAddress => 0x74b74bb5 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDecrypt FunctionAddress => 0x74b856eb ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPCreateHash FunctionAddress => 0x74b65d47 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPHashData FunctionAddress => 0x74b65e99 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPHashSessionKey FunctionAddress => 0x74b85e02 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDestroyHash FunctionAddress => 0x74b65f99 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSignHash FunctionAddress => 0x74b6a639 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPVerifySignature FunctionAddress => 0x74b68ec6 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGenRandom FunctionAddress => 0x74b64423 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetUserKey FunctionAddress => 0x74b6afa0 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetProvParam FunctionAddress => 0x74b86d34 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetProvParam FunctionAddress => 0x74b86eac ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPSetHashParam FunctionAddress => 0x74b69d67 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPGetHashParam FunctionAddress => 0x74b66066 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDuplicateKey FunctionAddress => 0x74b87545 ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CPDuplicateHash FunctionAddress => 0x74b8624f ModuleHandle => 0x74b60000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | NtOpenKeyEx |
DesiredAccess => 131353 KeyHandle => 0x000004a8 ObjectAttributes => Software\Microsoft\Cryptography |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | NtQueryValueKey |
Information => 1\x008\x00a\x00b\x003\x005\x003\x002\x00-\x006\x00c\x004\x00d\x00-\x004\x005\x00c\x007\x00-\x008\x00e\x009\x00a\x00-\x007\x001\x00f\x00a\x00e\x00d\x00c\x001\x005\x003\x005\x008\x00\x00\x00 KeyHandle => 0x000004a8 ValueName => MachineGuid Type => 1 |
SUCCESS | 0x00000000 | 3 times |
| 23:22:13,508 | 2772 | NtOpenKeyEx |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => Software\Microsoft\Cryptography\Offload |
FAILURE | 0xc0000034 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptImportKey FunctionAddress => 0x74dc51dd ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptExportKey FunctionAddress => 0x74dc50dd ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CryptDestroyKey FunctionAddress => 0x74dc4cf3 ModuleHandle => 0x74dc0000 |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => v4.0_policy.6.0.Newtonsoft.Json__30ad4fe6b2a6aeed |
FAILURE | 0x00000002 | |
| 23:22:13,508 | 2772 | RegOpenKeyExW |
Handle => 0x00000000 Registry => 0x000001e0 SubKey => policy.6.0.Newtonsoft.Json__30ad4fe6b2a6aeed |
FAILURE | 0x00000002 | |
| 23:22:13,508 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x009c0000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:13,508 | 2772 | LdrLoadDll |
Flags => 1624780 BaseAddress => 0x00000000 FileName => C:\Windows\Microsoft.NET\Framework\v4.0.30319\VERSION.dll |
FAILURE | 0xc0000135 | |
| 23:22:13,508 | 2772 | LdrLoadDll |
Flags => 1626000 BaseAddress => 0x74930000 FileName => VERSION.dll |
SUCCESS | 0x00000000 | |
| 23:22:13,508 | 2772 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => GetFileVersionInfoSizeW FunctionAddress => 0x749319d9 ModuleHandle => 0x74930000 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x009c0000 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00b70000 |
SUCCESS | 0x00000000 | 1 time |
| 23:22:13,528 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x009c0000 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtFreeVirtualMemory |
FreeType => 0x00008000 ProcessHandle => 0xffffffff RegionSize => 0x00010000 BaseAddress => 0x00600000 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | RegOpenKeyExW |
Handle => 0x000004b2 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | RegQueryValueExW |
Handle => 0x000004b2 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | RegCloseKey |
Handle => 0x000004b2 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:13,528 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004b0 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:13,528 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004b0 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004b0 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:13,528 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004b0 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 2772 | CreateThread |
ThreadId => 392 StartRoutine => 0x71ba2f1a Parameter => 0x0018e9c0 CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:13,528 | 392 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 392 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 392 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 392 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 392 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 392 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 392 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:13,528 | 392 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:13,528 | 392 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | RegOpenKeyExW |
Handle => 0x000004b2 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | RegQueryValueExW |
Handle => 0x000004b2 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | RegCloseKey |
Handle => 0x000004b2 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | RegOpenKeyExW |
Handle => 0x000004b2 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | RegQueryValueExW |
Handle => 0x000004b2 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | RegCloseKey |
Handle => 0x000004b2 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:14,539 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004b0 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:14,539 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004b0 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004b0 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:14,539 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004b0 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 2772 | CreateThread |
ThreadId => 1604 StartRoutine => 0x71ba2f1a Parameter => 0x0018e9c0 CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:14,539 | 1604 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 1604 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 1604 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 1604 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 1604 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 1604 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 1604 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:14,539 | 1604 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:14,539 | 1604 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegOpenKeyExW |
Handle => 0x000004b2 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegQueryValueExW |
Handle => 0x000004b2 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegCloseKey |
Handle => 0x000004b2 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegOpenKeyExW |
Handle => 0x000004b2 Registry => 0x80000000 SubKey => CLSID\{4590F811-1D3A-11D0-891F-00AA004B2E24}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegQueryValueExW |
Handle => 0x000004b2 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegCloseKey |
Handle => 0x000004b2 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | LdrGetDllHandle |
ModuleHandle => 0x01d068ed FileName => wmisvc.dll |
FAILURE | 0xc0000135 | 1 time |
| 23:22:14,549 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004b0 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:14,549 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004b0 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | NtQueryValueKey |
Information => W\x00I\x00N\x00-\x002\x00H\x00L\x00B\x00F\x007\x00Q\x009\x00P\x00E\x001\x00\x00\x00 KeyHandle => 0x000004b0 ValueName => Hostname Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x00000000 ObjectAttributes => \Registry\Machine\Software\Policies\Microsoft\System\DNSclient |
FAILURE | 0xc0000034 | |
| 23:22:14,549 | 2772 | NtOpenKey |
DesiredAccess => 131097 KeyHandle => 0x000004b0 ObjectAttributes => \Registry\Machine\System\CurrentControlSet\Services\Tcpip\Parameters |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | NtQueryValueKey |
Information => \x00\x00 KeyHandle => 0x000004b0 ValueName => Domain Type => 1 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | CreateThread |
ThreadId => 1172 StartRoutine => 0x71ba2f1a Parameter => 0x0018e9c0 CreationFlags => 0 |
SUCCESS | 0x000004a8 | |
| 23:22:14,549 | 1172 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 1172 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 1172 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 1172 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 1172 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 1172 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 1172 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 1172 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| 23:22:14,549 | 1172 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegOpenKeyExW |
Handle => 0x000004b2 Registry => 0x80000000 SubKey => CLSID\{CF4CC405-E2C5-4DDD-B3CE-5E7582D8C9FA}\InprocServer32 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegQueryValueExW |
Handle => 0x000004b2 DataLength => 80 ValueName => Type => 2 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | RegCloseKey |
Handle => 0x000004b2 |
SUCCESS | 0x00000000 | |
| 23:22:14,549 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x000004b0 | |
| 23:22:14,559 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004a8 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0^\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00p\x15+\x00 FileHandle => 0x000004b0 OutputBuffer => \x02\x00\xc0^\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00h\xe9\x18\x00\x02\x00\xc0^\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x88\xe9\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0^\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | send |
buffer => socket => 0x000004b0 |
FAILURE | 0xffffffff | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xec\xe9\x18\x00\x01\xc5+\x00\x00\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | shutdown |
how => 2 socket => 0x000004b0 |
FAILURE | 0xffffffff | |
| 23:22:14,559 | 2772 | setsockopt |
socket => 0x000004b0 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | closesocket |
socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 2 |
SUCCESS | 0x000004b0 | |
| 23:22:14,559 | 2772 | WSASocketW |
type => 1 protocol => 6 af => 23 |
SUCCESS | 0x000004a8 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\xc0_\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00p\x15+\x00 FileHandle => 0x000004b0 OutputBuffer => \x02\x00\xc0_\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 |
SUCCESS | 0x00000103 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x01\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00h\xe9\x18\x00\x02\x00\xc0_\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00\x88\xe9\x18\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000103 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x03\x00\x00\x00\x02\x00\x00\x00\x01\x00\x00\x00\x06\x00\x00\x00\x10\x00\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00 \x00\x00\x00 \x00\x00\x00\x10\x00\x00\x01\x00\x00\x00\xe9\x03\x00\x00f\x00\x02\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xa0\x1a\x0f\xe7\x8b\xab\xcf\x11\x8c\xa3\x00\x80_H\xa1\x92\x04\x00\x00\x00\x00\x00\x00\x00\x02\x00\xc0_\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00P\xc6:P\xa0\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | closesocket |
socket => 0x000004a8 |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | send |
buffer => socket => 0x000004b0 |
FAILURE | 0xffffffff | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x02\x00\x00\x00\xec\xe9\x18\x00\x01\xc5+\x00\x00\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | NtDeviceIoControlFile |
InputBuffer => \x00\x00\x00\x00\x00\x00\x00\x00 FileHandle => 0x000004b0 OutputBuffer => |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | ioctlsocket |
command => 2147772030 socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | shutdown |
how => 2 socket => 0x000004b0 |
FAILURE | 0xffffffff | |
| 23:22:14,559 | 2772 | setsockopt |
socket => 0x000004b0 level => 65535 optname => 128 optval => \x01\x00\x00\x00 |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | closesocket |
socket => 0x000004b0 |
SUCCESS | 0x00000000 | |
| 23:22:14,559 | 2772 | NtDelayExecution |
Milliseconds => 180000 |
SUCCESS | 0x00000000 | |
| 23:22:44,562 | 2024 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => CoUninitialize FunctionAddress => 0x770070c7 ModuleHandle => 0x76fc0000 |
SUCCESS | 0x00000000 | |
| 23:22:44,562 | 2024 | LdrGetDllHandle |
ModuleHandle => 0x76f30000 FileName => oleaut32.dll |
SUCCESS | 0x00000000 | |
| 23:22:44,562 | 2024 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | |
| 23:23:06,183 | 2856 | NtDelayExecution |
Milliseconds => 60000 |
SUCCESS | 0x00000000 | |
| 23:23:13,184 | 2840 | ExitThread |
ExitCode => 0 |
SUCCESS | 0x00000000 | 1 time |
| 23:23:15,497 | 3040 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:23:15,497 | 3040 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:23:15,497 | 3040 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:23:15,497 | 3040 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:23:15,497 | 3040 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | |
| 23:23:15,497 | 3040 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => EncodePointer FunctionAddress => 0x7725324c ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:23:15,497 | 3040 | LdrGetProcedureAddress |
Ordinal => 0 FunctionName => DecodePointer FunctionAddress => 0x7724f020 ModuleHandle => 0x76790000 |
SUCCESS | 0x00000000 | |
| 23:23:15,497 | 3040 | LdrGetDllHandle |
ModuleHandle => 0x76790000 FileName => KERNEL32.DLL |
SUCCESS | 0x00000000 | 1 time |
| PID | Process name | VAD start | VAD tag |
|---|---|---|---|
| 704 | svchost.exe | 0x580000 | VadS |
| 980 | svchost.exe | 0x650000 | VadS |
| 1460 | explorer.exe | 0x3010000 | VadS |
| 1016 | firefox.exe | 0x20000 | VadS |
| 1016 | firefox.exe | 0x270000 | VadS |
| 1016 | firefox.exe | 0x1910000 | VadS |
| 1016 | firefox.exe | 0x5df0000 | VadS |
| 1016 | firefox.exe | 0x5fd0000 | VadS |
| 1016 | firefox.exe | 0xed20000 | VadS |
| 1016 | firefox.exe | 0x14830000 | VadS |
| 1016 | firefox.exe | 0x263a0000 | VadS |
| 1016 | firefox.exe | 0x249a0000 | VadS |
| 1016 | firefox.exe | 0x17f60000 | VadS |
| 1016 | firefox.exe | 0x262e0000 | VadS |
| 1016 | firefox.exe | 0x36b30000 | VadS |
| 1016 | firefox.exe | 0x35aa0000 | VadS |
| 1016 | firefox.exe | 0x344d0000 | VadS |
| 1016 | firefox.exe | 0x35d40000 | VadS |
| 1016 | firefox.exe | 0x36de0000 | VadS |
| 1744 | plugin-contain | 0x2c0000 | VadS |
| 1744 | plugin-contain | 0x2dc60000 | VadS |
| 1744 | plugin-contain | 0x2c930000 | VadS |
| 3896 | steamwebhelper | 0xdc00000 | VadS |
| 3896 | steamwebhelper | 0x3eb00000 | VadS |
| 2108 | steamwebhelper | 0x1fd00000 | VadS |
| 2108 | steamwebhelper | 0x24c00000 | VadS |
| 2152 | python.exe | 0x290000 | VadS |
| PID | Process name | Parent PID | Session ID | Number of threads | Number of handles | Create time | Exit time |
|---|---|---|---|---|---|---|---|
| 4 | System | 0 | 58 | 419 | 2015-03-25 20:08:08 UTC+0000 | ||
| 212 | smss.exe | 4 | 2 | 29 | 2015-03-25 20:08:08 UTC+0000 | ||
| 288 | csrss.exe | 280 | 0 | 8 | 245 | 2015-03-25 20:08:12 UTC+0000 | |
| 324 | wininit.exe | 280 | 0 | 3 | 76 | 2015-03-25 20:08:12 UTC+0000 | |
| 336 | csrss.exe | 316 | 1 | 8 | 317 | 2015-03-25 20:08:12 UTC+0000 | |
| 376 | winlogon.exe | 316 | 1 | 3 | 109 | 2015-03-25 20:08:12 UTC+0000 | |
| 424 | services.exe | 324 | 0 | 6 | 160 | 2015-03-25 20:08:13 UTC+0000 | |
| 432 | lsass.exe | 324 | 0 | 6 | 500 | 2015-03-25 20:08:13 UTC+0000 | |
| 440 | lsm.exe | 324 | 0 | 10 | 146 | 2015-03-25 20:08:13 UTC+0000 | |
| 544 | svchost.exe | 424 | 0 | 10 | 342 | 2015-03-25 20:08:14 UTC+0000 | |
| 600 | VBoxService.ex | 424 | 0 | 12 | 118 | 2015-03-25 20:08:16 UTC+0000 | |
| 652 | svchost.exe | 424 | 0 | 7 | 225 | 2015-03-25 18:08:18 UTC+0000 | |
| 704 | svchost.exe | 424 | 0 | 18 | 413 | 2015-03-25 18:08:18 UTC+0000 | |
| 788 | svchost.exe | 424 | 0 | 12 | 301 | 2015-03-25 18:08:18 UTC+0000 | |
| 816 | svchost.exe | 424 | 0 | 26 | 727 | 2015-03-25 18:08:18 UTC+0000 | |
| 904 | audiodg.exe | 704 | 0 | 5 | 120 | 2015-03-25 18:08:19 UTC+0000 | |
| 980 | svchost.exe | 424 | 0 | 16 | 324 | 2015-03-25 18:08:19 UTC+0000 | |
| 1112 | svchost.exe | 424 | 0 | 6 | 95 | 2015-03-25 18:08:21 UTC+0000 | |
| 1152 | svchost.exe | 424 | 0 | 9 | 391 | 2015-03-25 18:08:21 UTC+0000 | |
| 1448 | dwm.exe | 788 | 1 | 3 | 75 | 2015-03-25 18:08:24 UTC+0000 | |
| 1460 | explorer.exe | 1440 | 1 | 19 | 610 | 2015-03-25 18:08:24 UTC+0000 | |
| 1492 | taskhost.exe | 424 | 1 | 8 | 145 | 2015-03-25 18:08:24 UTC+0000 | |
| 1640 | Everything.exe | 1460 | 1 | 2 | 59 | 2015-03-25 18:08:25 UTC+0000 | |
| 1648 | VBoxTray.exe | 1460 | 1 | 11 | 116 | 2015-03-25 18:08:25 UTC+0000 | |
| 1704 | python.exe | 1460 | 1 | 2 | 119 | 2015-03-25 18:08:25 UTC+0000 | |
| 1768 | conhost.exe | 336 | 1 | 2 | 56 | 2015-03-25 18:08:25 UTC+0000 | |
| 1900 | svchost.exe | 424 | 0 | 10 | 189 | 2015-03-25 18:08:31 UTC+0000 | |
| 1016 | firefox.exe | 1460 | 1 | 53 | 807 | 2015-03-25 18:21:06 UTC+0000 | |
| 1744 | plugin-contain | 1016 | 1 | 17 | 273 | 2015-03-25 18:21:11 UTC+0000 | |
| 3064 | Steam.exe | 1460 | 1 | 28 | 578 | 2015-03-25 18:28:28 UTC+0000 | |
| 3108 | steamwebhelper | 3064 | 1 | 23 | 285 | 2015-03-25 18:28:29 UTC+0000 | |
| 3896 | steamwebhelper | 3108 | 1 | 6 | 100 | 2015-03-25 18:29:57 UTC+0000 | |
| 2108 | steamwebhelper | 3108 | 1 | 7 | 103 | 2015-03-25 18:30:46 UTC+0000 | |
| 2152 | python.exe | 1704 | 1 | 7 | 152 | 2015-03-26 02:22:17 UTC+0000 | |
| 2776 | svchost.exe | 2604 | 1 | 0 | 2015-03-26 04:22:04 UTC+0000 | 2015-03-26 02:24:18 UTC+0000 | |
| 1948 | WmiPrvSE.exe | 544 | 0 | 8 | 230 | 2015-03-26 04:22:06 UTC+0000 |
| PID | Process name | In pslist | In psscan | In thrdproc | In pspcid | In csrss | In session | In deskthrd |
|---|---|---|---|---|---|---|---|---|
| 788 | svchost.exe | True | False | True | True | True | True | True |
| 1448 | dwm.exe | True | False | True | True | True | True | True |
| 1640 | Everything.exe | True | False | True | True | True | True | True |
| 376 | winlogon.exe | True | False | True | True | True | True | True |
| 324 | wininit.exe | True | False | True | True | True | True | True |
| 1704 | python.exe | True | False | True | True | True | True | True |
| 1900 | svchost.exe | True | False | True | True | True | True | True |
| 652 | svchost.exe | True | False | True | True | True | True | True |
| 1492 | taskhost.exe | True | False | True | True | True | True | True |
| 600 | VBoxService.ex | True | False | True | True | True | True | True |
| 1744 | plugin-contain | True | False | True | True | True | True | True |
| 432 | lsass.exe | True | False | True | True | True | True | False |
| 440 | lsm.exe | True | False | True | True | True | True | False |
| 3896 | steamwebhelper | True | False | True | True | True | True | True |
| 3108 | steamwebhelper | True | False | True | True | True | True | True |
| 980 | svchost.exe | True | False | True | True | True | True | True |
| 2108 | steamwebhelper | True | False | True | True | True | True | True |
| 904 | audiodg.exe | True | False | True | True | True | True | True |
| 544 | svchost.exe | True | False | True | True | True | True | True |
| 816 | svchost.exe | True | False | True | True | True | True | True |
| 1152 | svchost.exe | True | False | True | True | True | True | True |
| 1768 | conhost.exe | True | False | True | True | True | True | True |
| 704 | svchost.exe | True | False | True | True | True | True | True |
| 3064 | Steam.exe | True | False | True | True | True | True | True |
| 1648 | VBoxTray.exe | True | False | True | True | True | True | True |
| 1016 | firefox.exe | True | False | True | True | True | True | True |
| 1460 | explorer.exe | True | False | True | True | True | True | True |
| 2152 | python.exe | True | False | True | True | True | True | True |
| 1112 | svchost.exe | True | False | True | True | True | True | True |
| 1948 | WmiPrvSE.exe | True | False | True | True | True | True | True |
| 424 | services.exe | True | False | True | True | True | True | False |
| 2776 | svchost.exe | True | False | False | True | False | True | False |
| 336 | csrss.exe | True | False | True | True | False | True | True |
| 212 | smss.exe | True | False | True | True | False | False | False |
| 4 | System | True | False | True | True | False | False | False |
| 288 | csrss.exe | True | False | True | True | False | True | True |
| 1016 | firefox.exe | False | True | False | False | False | False | False |
| 424 | services.exe | False | True | False | False | False | False | False |
| 652 | svchost.exe | False | True | False | False | False | False | False |
| 600 | VBoxService.ex | False | True | False | False | False | False | False |
| 2776 | svchost.exe | False | True | False | False | False | False | False |
| 1948 | WmiPrvSE.exe | False | True | False | False | False | False | False |
| 704 | svchost.exe | False | True | False | False | False | False | False |
| 440 | lsm.exe | False | True | False | False | False | False | False |
| 788 | svchost.exe | False | True | False | False | False | False | False |
| 1492 | taskhost.exe | False | True | False | False | False | False | False |
| 4 | System | False | True | False | False | False | False | False |
| 1152 | svchost.exe | False | True | False | False | False | False | False |
| 336 | csrss.exe | False | True | False | False | False | False | False |
| 288 | csrss.exe | False | True | False | False | False | False | False |
| 1640 | Everything.exe | False | True | False | False | False | False | False |
| 816 | svchost.exe | False | True | False | False | False | False | False |
| 324 | wininit.exe | False | True | False | False | False | False | False |
| 212 | smss.exe | False | True | False | False | False | False | False |
| 904 | audiodg.exe | False | True | False | False | False | False | False |
| 2152 | python.exe | False | True | False | False | False | False | False |
| 2108 | steamwebhelper | False | True | False | False | False | False | False |
| 1900 | svchost.exe | False | True | False | False | False | False | False |
| 980 | svchost.exe | False | True | False | False | False | False | False |
| 432 | lsass.exe | False | True | False | False | False | False | False |
| 1744 | plugin-contain | False | True | False | False | False | False | False |
| 544 | svchost.exe | False | True | False | False | False | False | False |
| 3108 | steamwebhelper | False | True | False | False | False | False | False |
| 1112 | svchost.exe | False | True | False | False | False | False | False |
| 3064 | Steam.exe | False | True | False | False | False | False | False |
| 1448 | dwm.exe | False | True | False | False | False | False | False |
| 3896 | steamwebhelper | False | True | False | False | False | False | False |
| 376 | winlogon.exe | False | True | False | False | False | False | False |
| 1648 | VBoxTray.exe | False | True | False | False | False | False | False |
| 1768 | conhost.exe | False | True | False | False | False | False | False |
| 1460 | explorer.exe | False | True | False | False | False | False | False |
| 1704 | python.exe | False | True | False | False | False | False | False |
| PID | Process name | Commandline | Dll full name | Dll base | Dll size | Load count |
|---|---|---|---|---|---|---|
| 212 | smss.exe | \SystemRoot\System32\smss.exe | \SystemRoot\System32\smss.exe | 1200750592 | 77824 | 65535 |
| 212 | smss.exe | \SystemRoot\System32\smss.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\csrss.exe | 1236795392 | 20480 | 65535 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\CSRSRV.dll | 1966735360 | 53248 | 65535 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\basesrv.DLL | 1966669824 | 57344 | 4 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\winsrv.DLL | 1966473216 | 180224 | 2 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 11 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 12 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\SYSTEM32\kernel32.dll | 1987641344 | 868352 | 69 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 224 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 3 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 3 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 3 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\sxssrv.DLL | 1966407680 | 36864 | 1 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\sxs.dll | 1965686784 | 389120 | 1 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 1 |
| 288 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\wininit.exe | 14417920 | 106496 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 6 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 6 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 324 | wininit.exe | wininit.exe | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 324 | wininit.exe | wininit.exe | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\secur32.dll | 1965031424 | 32768 | 1 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 2 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 324 | wininit.exe | wininit.exe | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 1 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\csrss.exe | 1236795392 | 20480 | 65535 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\CSRSRV.dll | 1966735360 | 53248 | 65535 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\basesrv.DLL | 1966669824 | 57344 | 4 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\winsrv.DLL | 1966473216 | 180224 | 2 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 11 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 12 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\SYSTEM32\kernel32.dll | 1987641344 | 868352 | 69 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 224 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 3 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 3 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 3 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\sxssrv.DLL | 1966407680 | 36864 | 1 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\sxs.dll | 1965686784 | 389120 | 1 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 1 |
| 336 | csrss.exe | %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\winlogon.exe | 720896 | 290816 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 6 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 34 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\UXINIT.dll | 1936785408 | 32768 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\UxTheme.dll | 1945829376 | 262144 | 3 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\WindowsCodecs.dll | 1941504000 | 1028096 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\wkscli.dll | 1940193280 | 61440 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\netjoin.dll | 1961426944 | 176128 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\netutils.dll | 1940258816 | 36864 | 2 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\slc.dll | 1938030592 | 40960 | 1 |
| 376 | winlogon.exe | winlogon.exe | C:\Windows\system32\MPR.dll | 1904214016 | 73728 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\services.exe | 4521984 | 266240 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\scext.dll | 1965096960 | 61440 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 24 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 21 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 6 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 6 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\Secur32.dll | 1965031424 | 32768 | 2 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\SCESRV.dll | 1964703744 | 319488 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\srvcli.dll | 1964572672 | 102400 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\AUTHZ.dll | 1962082304 | 110592 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\UBPM.dll | 1957101568 | 180224 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 2 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 6 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 6 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 424 | services.exe | C:\Windows\system32\services.exe | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\lsass.exe | 3211264 | 36864 | 65535 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\SspiSrv.dll | 1964507136 | 28672 | 65535 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\lsasrv.dll | 1963458560 | 1048576 | 19 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 162 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 18 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 24 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 60 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 48 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 15 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 15 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\SAMSRV.dll | 1962737664 | 569344 | 13 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\cryptdll.dll | 1962606592 | 69632 | 21 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 17 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\wevtapi.dll | 1962278912 | 270336 | 11 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\cngaudit.dll | 1962213376 | 24576 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\AUTHZ.dll | 1962082304 | 110592 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\ncrypt.dll | 1961820160 | 229376 | 2 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\bcrypt.dll | 1961689088 | 94208 | 25 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\msprivs.DLL | 1961623552 | 8192 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\netjoin.dll | 1961426944 | 176128 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\negoexts.DLL | 1961295872 | 110592 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\Secur32.dll | 1965031424 | 32768 | 4 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\cryptbase.dll | 1965621248 | 49152 | 6 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\kerberos.DLL | 1960706048 | 557056 | 2 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 5 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 11 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 16 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\msv1_0.DLL | 1959919616 | 270336 | 5 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\netlogon.DLL | 1959329792 | 573440 | 2 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\DNSAPI.dll | 1959002112 | 278528 | 3 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\logoncli.dll | 1958805504 | 139264 | 2 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\schannel.DLL | 1958543360 | 233472 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\wdigest.DLL | 1958346752 | 180224 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\tspkg.DLL | 1957822464 | 73728 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\pku2u.DLL | 1957560320 | 212992 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\bcryptprimitives.dll | 1957298176 | 249856 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\efslsaext.dll | 1958019072 | 53248 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\scecli.DLL | 1956904960 | 188416 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\WINNSI.DLL | 1955594240 | 28672 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\netutils.dll | 1940258816 | 36864 | 2 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 2 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 2 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\samcli.dll | 1940127744 | 61440 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\SAMLIB.dll | 1946091520 | 73728 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\dssenh.dll | 1815019520 | 159744 | 1 |
| 432 | lsass.exe | C:\Windows\system32\lsass.exe | C:\Windows\system32\GPAPI.dll | 1956118528 | 90112 | 2 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\lsm.exe | 3866624 | 270336 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\SYSNTFY.dll | 1963393024 | 28672 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\WMsgAPI.dll | 1963327488 | 24576 | 65535 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\pcwum.dll | 1955921920 | 45056 | 1 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\secur32.dll | 1965031424 | 32768 | 1 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 2 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 440 | lsm.exe | C:\Windows\system32\lsm.exe | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\svchost.exe | 2228224 | 32768 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | c:\windows\system32\umpnpmgr.dll | 1956577280 | 299008 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | c:\windows\system32\SPINF.dll | 1956446208 | 86016 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 68 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 61 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 13 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 13 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | c:\windows\system32\DEVRTL.dll | 1956380672 | 57344 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\GPAPI.dll | 1956118528 | 90112 | 4 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | c:\windows\system32\umpo.dll | 1955987456 | 131072 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | c:\windows\system32\WINSTA.dll | 1966080000 | 167936 | 2 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 3 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 14 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 13 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 21 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | c:\windows\system32\pcwum.DLL | 1955921920 | 45056 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | c:\windows\system32\rpcss.dll | 1955004416 | 389120 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | c:\windows\system32\SspiCli.dll | 1965162496 | 106496 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 2 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\wbem\wmidcprv.dll | 1908867072 | 143360 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\wbem\FastProx.dll | 1908211712 | 614400 | 2 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\wbemcomn.dll | 1909063680 | 376832 | 5 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 7 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 4 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\NTDSAPI.dll | 1908080640 | 98304 | 2 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\wbem\wbemprox.dll | 1908015104 | 40960 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\wbem\wbemsvc.dll | 1906638848 | 61440 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\wbem\wmiutils.dll | 1905917952 | 94208 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 1 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 2 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 544 | svchost.exe | C:\Windows\system32\svchost.exe -k DcomLaunch | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 1 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\VBoxService.exe | 3407872 | 1556480 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\Secur32.dll | 1965031424 | 32768 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\PSAPI.DLL | 1988558848 | 20480 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\WINNSI.DLL | 1955594240 | 28672 | 65535 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 1 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 2 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 600 | VBoxService.ex | system32\VBoxService.exe | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\svchost.exe | 2228224 | 32768 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | c:\windows\system32\rpcepmap.dll | 1954938880 | 57344 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 3 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\secur32.dll | 1965031424 | 32768 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | c:\windows\system32\rpcss.dll | 1955004416 | 389120 | 65535 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 4 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 7 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 7 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\user32.dll | 1988624384 | 823296 | 30 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 27 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 7 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 7 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\FirewallAPI.dll | 1954349056 | 483328 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 3 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 1 |
| 652 | svchost.exe | C:\Windows\system32\svchost.exe -k RPCSS | C:\Windows\system32\fwpuclnt.dll | 1935998976 | 229376 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\svchost.exe | 2228224 | 32768 | 65535 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 40 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 159 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 184 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 35 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 35 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\CRYPTBASE.dll | 1965621248 | 49152 | 3 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 73 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\wevtsvc.dll | 1953234944 | 1097728 | 56 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\secur32.dll | 1965031424 | 32768 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\SSPICLI.DLL | 1965162496 | 106496 | 3 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\credssp.dll | 1957953536 | 32768 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 14 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 27 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\GPAPI.dll | 1956118528 | 90112 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\audiosrv.dll | 1952710656 | 499712 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\POWRPROF.dll | 1952514048 | 151552 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 3 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 10 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 22 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 3 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\MMDevAPI.DLL | 1952251904 | 233472 | 6 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\PROPSYS.dll | 1948057600 | 1003520 | 10 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\AVRT.dll | 1952055296 | 28672 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\dhcpcore.dll | 1935540224 | 262144 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\DNSAPI.dll | 1959002112 | 278528 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\WINNSI.DLL | 1955594240 | 28672 | 6 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\firewallapi.dll | 1954349056 | 483328 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\VERSION.dll | 1955790848 | 36864 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\dhcpcore6.dll | 1935278080 | 200704 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\IPHLPAPI.DLL | 1955659776 | 114688 | 4 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\WINSTA.dll | 1966080000 | 167936 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\dhcpcsvc6.DLL | 1910964224 | 53248 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 4 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\audioses.dll | 1887240192 | 221184 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | c:\windows\system32\provsvc.dll | 1921384448 | 176128 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\actxprxy.dll | 1895432192 | 319488 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\npmproxy.dll | 1896284160 | 32768 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\FunDisc.dll | 1919352832 | 176128 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\ATL.DLL | 1937702912 | 81920 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\msxml6.dll | 1917714432 | 1404928 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\fdproxy.dll | 1917648896 | 40960 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Program Files\Internet Explorer\ieproxy.dll | 1884356608 | 176128 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\audiokse.dll | 1885995008 | 466944 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 2 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 704 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | C:\Windows\System32\ksuser.dll | 1887502336 | 16384 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\svchost.exe | 2228224 | 32768 | 65535 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 46 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 230 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 253 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 49 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 49 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 32 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\audiosrv.dll | 1952710656 | 499712 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\POWRPROF.dll | 1952514048 | 151552 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 8 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 23 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 27 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 8 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\MMDevAPI.DLL | 1952251904 | 233472 | 5 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\PROPSYS.dll | 1948057600 | 1003520 | 6 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\AVRT.dll | 1952055296 | 28672 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 10 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\uxsms.dll | 1935867904 | 45056 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\WTSAPI32.dll | 1955856384 | 53248 | 3 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\WINSTA.dll | 1966080000 | 167936 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\sysmain.dll | 1909784576 | 1179648 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 4 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\trkwks.dll | 1909653504 | 86016 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\USERENV.dll | 1956249600 | 94208 | 4 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\profapi.dll | 1966342144 | 45056 | 5 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\GPAPI.dll | 1956118528 | 90112 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\PortableDeviceApi.dll | 1906049024 | 561152 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\portabledeviceconnectapi.dll | 1905459200 | 73728 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\SspiCli.dll | 1965162496 | 106496 | 4 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\netman.dll | 1926430720 | 290816 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 14 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\WINNSI.DLL | 1955594240 | 28672 | 5 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\netshell.dll | 1928658944 | 2510848 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\IPHLPAPI.DLL | 1955659776 | 114688 | 3 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\nlaapi.dll | 1949106176 | 65536 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\RASDLG.dll | 1925578752 | 790528 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\MPRAPI.dll | 1925382144 | 167936 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\RASAPI32.dll | 1924988928 | 335872 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\rasman.dll | 1924857856 | 86016 | 3 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 6 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\rtutils.dll | 1940455424 | 53248 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\dsrole.dll | 1938096128 | 36864 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\netcfgx.dll | 1924399104 | 417792 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\slc.dll | 1938030592 | 40960 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\devrtl.DLL | 1956380672 | 57344 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\hnetcfg.dll | 1924071424 | 303104 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\ATL.DLL | 1937702912 | 81920 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\wbem\wbemprox.dll | 1908015104 | 40960 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\wbemcomn.dll | 1909063680 | 376832 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\wbem\wbemsvc.dll | 1906638848 | 61440 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\wbem\fastprox.dll | 1908211712 | 614400 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\system32\NTDSAPI.dll | 1908080640 | 98304 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\pcasvc.dll | 1915289600 | 163840 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\AEPIC.dll | 1915158528 | 73728 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\sfc.dll | 1914961920 | 12288 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\sfc_os.DLL | 1914896384 | 53248 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\VERSION.dll | 1955790848 | 36864 | 2 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | c:\windows\system32\wevtapi.dll | 1962278912 | 270336 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\secur32.dll | 1965031424 | 32768 | 1 |
| 788 | svchost.exe | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | C:\Windows\System32\credssp.dll | 1957953536 | 32768 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\svchost.exe | 2228224 | 32768 | 65535 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 75 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 314 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 349 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 70 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 70 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 54 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\mmcss.dll | 1952120832 | 73728 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\AVRT.dll | 1952055296 | 28672 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\gpsvc.dll | 1938161664 | 602112 | 8 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\GPAPI.dll | 1956118528 | 90112 | 11 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 9 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\Secur32.dll | 1965031424 | 32768 | 9 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 14 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 36 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\SYSNTFY.dll | 1963393024 | 28672 | 10 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\nlaapi.dll | 1949106176 | 65536 | 8 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\dsrole.dll | 1938096128 | 36864 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\slc.dll | 1938030592 | 40960 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\profsvc.dll | 1937833984 | 176128 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 44 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\USERENV.dll | 1956249600 | 94208 | 4 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\profapi.dll | 1966342144 | 45056 | 6 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 10 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\ATL.DLL | 1937702912 | 81920 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\themeservice.dll | 1937637376 | 49152 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\sens.dll | 1935933440 | 61440 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 26 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\shsvcs.dll | 1934884864 | 335872 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 18 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 4 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\schedsvc.dll | 1934098432 | 753664 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\pcwum.dll | 1955921920 | 45056 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 4 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\NETAPI32.dll | 1940324352 | 69632 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\netutils.dll | 1940258816 | 36864 | 5 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\srvcli.dll | 1964572672 | 102400 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\wkscli.dll | 1940193280 | 61440 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\wevtapi.dll | 1962278912 | 270336 | 12 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\AUTHZ.dll | 1962082304 | 110592 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\UBPM.dll | 1957101568 | 180224 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\ktmw32.dll | 1934032896 | 36864 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\XmlLite.dll | 1942552576 | 192512 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\taskcomp.dll | 1936916480 | 315392 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wiarpc.dll | 1936850944 | 45056 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\UxTheme.dll | 1945829376 | 262144 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\netjoin.dll | 1961426944 | 176128 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 1946353664 | 1695744 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\PROPSYS.dll | 1948057600 | 1003520 | 4 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\wbem\wmisvc.dll | 1909456896 | 176128 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbemcomn.dll | 1909063680 | 376832 | 15 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\VSSAPI.DLL | 1912340480 | 1134592 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\VssTrace.DLL | 1912274944 | 65536 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\samcli.dll | 1940127744 | 61440 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\SAMLIB.dll | 1946091520 | 73728 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\wbemcore.dll | 1907032064 | 790528 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\esscli.dll | 1906704384 | 278528 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\FastProx.dll | 1908211712 | 614400 | 7 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\NTDSAPI.dll | 1908080640 | 98304 | 5 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\wbemsvc.dll | 1906638848 | 61440 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\wmiutils.dll | 1905917952 | 94208 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\repdrvfs.dll | 1905590272 | 311296 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\wmiprvsd.dll | 1904934912 | 524288 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\NCObjAPI.DLL | 1904869376 | 61440 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\wbemess.dll | 1904476160 | 352256 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\SXS.DLL | 1965686784 | 389120 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\WINNSI.DLL | 1955594240 | 28672 | 3 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\aelupsvc.dll | 1809645568 | 73728 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wbem\ncprov.dll | 1904345088 | 65536 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\wuaueng.dll | 1805910016 | 1925120 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\ESENT.dll | 1807876096 | 1712128 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\WINSPOOL.DRV | 1871118336 | 331776 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\WINHTTP.dll | 1911422976 | 360448 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\webio.dll | 1911095296 | 323584 | 2 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\Cabinet.dll | 1809776640 | 86016 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | c:\windows\system32\mspatcha.dll | 1805844480 | 49152 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\psapi.dll | 1988558848 | 20480 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\WMsgAPI.dll | 1963327488 | 24576 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\peerdist.dll | 1941307392 | 151552 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\wer.dll | 1892417536 | 393216 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\RasApi32.dll | 1924988928 | 335872 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\rasman.dll | 1924857856 | 86016 | 1 |
| 816 | svchost.exe | C:\Windows\system32\svchost.exe -k netsvcs | C:\Windows\system32\ES.DLL | 1937309696 | 290816 | 2 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\AUDIODG.EXE | 13107200 | 122880 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\MMDevAPI.DLL | 1952251904 | 233472 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\PROPSYS.dll | 1948057600 | 1003520 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 16 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\System32\audioses.dll | 1887240192 | 221184 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\System32\audioeng.dll | 1886519296 | 397312 | 3 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\System32\AVRT.dll | 1952055296 | 28672 | 4 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 2 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 6 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 2 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\System32\audiokse.dll | 1885995008 | 466944 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 2 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 2 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\System32\ksuser.dll | 1887502336 | 16384 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 1 |
| 904 | audiodg.exe | C:\Windows\system32\AUDIODG.EXE 0x2ac | C:\Windows\system32\WMALFXGFXDSP.dll | 1884553216 | 1417216 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\svchost.exe | 2228224 | 32768 | 65535 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 37 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 174 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 184 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 35 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 35 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 22 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | c:\windows\system32\es.dll | 1937309696 | 290816 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 15 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | c:\windows\system32\nsisvc.dll | 1935802368 | 32768 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 55 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\SXS.DLL | 1965686784 | 389120 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | c:\windows\system32\netprofm.dll | 1896349696 | 368640 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | c:\windows\system32\nlaapi.dll | 1949106176 | 65536 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\System32\npmproxy.dll | 1896284160 | 32768 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 26 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 18 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\WINNSI.DLL | 1955594240 | 28672 | 12 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\GPAPI.dll | 1956118528 | 90112 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | c:\windows\system32\fdphost.dll | 1921318912 | 24576 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\fdwsd.dll | 1921122304 | 114688 | 6 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\ATL.DLL | 1937702912 | 81920 | 9 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\bcrypt.dll | 1961689088 | 94208 | 9 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 7 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 7 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 10 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\MLANG.dll | 1920401408 | 188416 | 6 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\wsdapi.dll | 1920598016 | 471040 | 7 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\webservices.dll | 1919549440 | 794624 | 7 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\FirewallAPI.dll | 1954349056 | 483328 | 7 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 7 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\WINHTTP.dll | 1911422976 | 360448 | 9 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\webio.dll | 1911095296 | 323584 | 9 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\fdssdp.dll | 1919221760 | 86016 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\SSDPAPI.dll | 1911029760 | 53248 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\fdproxy.dll | 1917648896 | 40960 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\bcryptprimitives.dll | 1957298176 | 249856 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\dhcpcsvc6.DLL | 1910964224 | 53248 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\XmlLite.dll | 1942552576 | 192512 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\DNSAPI.dll | 1959002112 | 278528 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\FunDisc.dll | 1919352832 | 176128 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\System32\msxml6.dll | 1917714432 | 1404928 | 1 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Windows\system32\propsys.dll | 1948057600 | 1003520 | 2 |
| 980 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalService | C:\Program Files\Internet Explorer\ieproxy.dll | 1884356608 | 176128 | 1 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\svchost.exe | 2228224 | 32768 | 65535 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 1 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 13 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 12 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 3 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 3 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 2 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | c:\windows\system32\bfe.dll | 1936261120 | 512000 | 1 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | c:\windows\system32\AUTHZ.dll | 1962082304 | 110592 | 2 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | c:\windows\system32\slc.dll | 1938030592 | 40960 | 1 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 1 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\pcwum.dll | 1955921920 | 45056 | 1 |
| 1112 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\svchost.exe | 2228224 | 32768 | 65535 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 15 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 86 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 94 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 21 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 21 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 4 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 16 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\cryptsvc.dll | 1913520128 | 147456 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 13 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 14 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\VSSAPI.DLL | 1912340480 | 1134592 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\ATL.DLL | 1937702912 | 81920 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\VssTrace.DLL | 1912274944 | 65536 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 6 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\samcli.dll | 1940127744 | 61440 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\SAMLIB.dll | 1946091520 | 73728 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\nlasvc.dll | 1912012800 | 253952 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 16 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 47 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\wevtapi.dll | 1962278912 | 270336 | 8 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 11 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\WINNSI.DLL | 1955594240 | 28672 | 12 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\ncsi.dll | 1911816192 | 163840 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\WINHTTP.dll | 1911422976 | 360448 | 3 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\webio.dll | 1911095296 | 323584 | 3 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | c:\windows\system32\fwpuclnt.dll | 1935998976 | 229376 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\secur32.dll | 1965031424 | 32768 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 3 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\ssdpapi.dll | 1911029760 | 53248 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\dhcpcsvc6.DLL | 1910964224 | 53248 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\wkscli.dll | 1940193280 | 61440 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\netjoin.dll | 1961426944 | 176128 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\netutils.dll | 1940258816 | 36864 | 3 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 4 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\bcrypt.dll | 1961689088 | 94208 | 9 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\bcryptprimitives.dll | 1957298176 | 249856 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\es.dll | 1937309696 | 290816 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\PROPSYS.dll | 1948057600 | 1003520 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\peerdist.dll | 1941307392 | 151552 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 2 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 4 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\AUTHZ.dll | 1962082304 | 110592 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\DNSAPI.dll | 1959002112 | 278528 | 3 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\NLAapi.dll | 1949106176 | 65536 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\System32\winrnr.dll | 1941241856 | 32768 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\napinsp.dll | 1941176320 | 65536 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\rasadhlp.dll | 1941110784 | 24576 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\CRYPTNET.dll | 1809907712 | 114688 | 12 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 12 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\SensApi.dll | 1810038784 | 24576 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\Cabinet.dll | 1809776640 | 86016 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\DEVRTL.dll | 1956380672 | 57344 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\ncrypt.dll | 1961820160 | 229376 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\GPAPI.dll | 1956118528 | 90112 | 3 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\ESENT.dll | 1807876096 | 1712128 | 1 |
| 1152 | svchost.exe | C:\Windows\system32\svchost.exe -k NetworkService | C:\Windows\system32\psapi.dll | 1988558848 | 20480 | 1 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\Dwm.exe | 4849664 | 106496 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\UxTheme.dll | 1945829376 | 262144 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\IMM32.dll | 1982791680 | 126976 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\dwmredir.dll | 1904017408 | 110592 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\dwmcore.dll | 1899954176 | 1380352 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\WindowsCodecs.dll | 1941504000 | 1028096 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\d3d10_1.dll | 1903296512 | 180224 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\d3d10_1core.dll | 1903034368 | 237568 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\dxgi.dll | 1902444544 | 536576 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\dwmapi.dll | 1942749184 | 77824 | 65535 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 1 |
| 1448 | dwm.exe | "C:\Windows\system32\Dwm.exe" | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\Explorer.EXE | 9830400 | 2621440 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\EXPLORERFRAME.dll | 1898446848 | 1503232 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\DUser.dll | 1943207936 | 192512 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\DUI70.dll | 1943404544 | 729088 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\IMM32.dll | 1982791680 | 126976 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\UxTheme.dll | 1945829376 | 262144 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\POWRPROF.dll | 1952514048 | 151552 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\dwmapi.dll | 1942749184 | 77824 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\slc.dll | 1938030592 | 40960 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll | 1944190976 | 1638400 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\Secur32.dll | 1965031424 | 32768 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\PROPSYS.dll | 1948057600 | 1003520 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 1946353664 | 1695744 | 52 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\WindowsCodecs.dll | 1941504000 | 1028096 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\EhStorShell.dll | 1897988096 | 200704 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\ntshrui.dll | 1897529344 | 454656 | 4 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\srvcli.dll | 1964572672 | 102400 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\cscapi.dll | 1903951872 | 45056 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\IconCodecService.dll | 1897463808 | 24576 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\SndVolSSO.DLL | 1942945792 | 229376 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\HID.DLL | 1942880256 | 36864 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\MMDevApi.dll | 1952251904 | 233472 | 14 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\timedate.cpl | 1895759872 | 491520 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\ATL.DLL | 1937702912 | 81920 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\actxprxy.dll | 1895432192 | 319488 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\gameux.dll | 1892810752 | 2588672 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\XmlLite.dll | 1942552576 | 192512 | 6 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 10 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 10 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\wer.dll | 1892417536 | 393216 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\shacct.dll | 1946222592 | 122880 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\SAMLIB.dll | 1946091520 | 73728 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\samcli.dll | 1940127744 | 61440 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\netutils.dll | 1940258816 | 36864 | 3 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\MsftEdit.dll | 1891762176 | 606208 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\msls31.dll | 1891565568 | 172032 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\authui.dll | 1950220288 | 1798144 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\CRYPTUI.dll | 1949171712 | 1015808 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\urlmon.dll | 1983971328 | 1265664 | 3 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\iertutil.dll | 1992163328 | 2068480 | 5 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\shdocvw.dll | 1891368960 | 188416 | 4 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\thumbcache.dll | 1891237888 | 90112 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\PSAPI.DLL | 1988558848 | 20480 | 3 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\NetworkExplorer.dll | 1889533952 | 1671168 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\WINMM.dll | 1889271808 | 204800 | 14 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\wdmaud.drv | 1887567872 | 196608 | 7 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\ksuser.dll | 1887502336 | 16384 | 7 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\AVRT.dll | 1952055296 | 28672 | 7 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\MPR.dll | 1904214016 | 73728 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\VBoxMRXNP.dll | 1888092160 | 1085440 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 7 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 18 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\ntlanman.dll | 1887961088 | 81920 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\davclnt.dll | 1887830016 | 90112 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\DAVHLPR.dll | 1887764480 | 32768 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\wkscli.dll | 1940193280 | 61440 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\AUDIOSES.DLL | 1887240192 | 221184 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\msacm32.drv | 1887174656 | 32768 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\MSACM32.dll | 1887043584 | 81920 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\midimap.dll | 1886978048 | 28672 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\SXS.DLL | 1965686784 | 389120 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Program Files\Internet Explorer\ieproxy.dll | 1884356608 | 176128 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\ieframe.DLL | 1873346560 | 10993664 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\OLEACC.dll | 1873084416 | 245760 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\StructuredQuery.dll | 1872691200 | 376832 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\prnfldr.dll | 1871511552 | 409600 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\WINSPOOL.DRV | 1871118336 | 331776 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\UIAnimation.dll | 1940979712 | 110592 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\msiltcfg.dll | 1940914176 | 28672 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 3 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\msi.dll | 1931673600 | 2359296 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\stobject.dll | 1940652032 | 233472 | 5 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\BatMeter.dll | 1939341312 | 749568 | 5 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 3 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\es.dll | 1937309696 | 290816 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\dxp.dll | 1931214848 | 409600 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\Syncreg.dll | 1940586496 | 65536 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\netshell.dll | 1928658944 | 2510848 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\IPHLPAPI.DLL | 1955659776 | 114688 | 4 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\WINNSI.DLL | 1955594240 | 28672 | 4 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\nlaapi.dll | 1949106176 | 65536 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\AltTab.dll | 1940520960 | 57344 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\wpdshserviceobj.dll | 1939210240 | 118784 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\PortableDeviceTypes.dll | 1939013632 | 176128 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\PortableDeviceApi.dll | 1906049024 | 561152 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\taskschd.dll | 1896742912 | 503808 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\pnidui.dll | 1926889472 | 1761280 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\QUtil.dll | 1926758400 | 94208 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\wevtapi.dll | 1962278912 | 270336 | 10 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\dhcpcsvc6.DLL | 1910964224 | 53248 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\npmproxy.dll | 1896284160 | 32768 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\Wlanapi.dll | 1923940352 | 90112 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\wlanutil.dll | 1938948096 | 24576 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\wwanapi.dll | 1923612672 | 294912 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\wwapi.dll | 1937244160 | 40960 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\QAgent.dll | 1923416064 | 188416 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\bthprops.cpl | 1922695168 | 720896 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\Actioncenter.dll | 1921908736 | 761856 | 2 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\hgcpl.dll | 1921581056 | 323584 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\provsvc.dll | 1921384448 | 176128 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\netprofm.dll | 1896349696 | 368640 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\fxsst.dll | 1916731392 | 860160 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\FXSAPI.dll | 1916469248 | 237568 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\FXSRESM.DLL | 1915486208 | 929792 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\netjoin.dll | 1961426944 | 176128 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\DEVRTL.dll | 1956380672 | 57344 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\System32\hcproviders.dll | 1907949568 | 36864 | 1 |
| 1460 | explorer.exe | C:\Windows\Explorer.EXE | C:\Windows\system32\wscapi.dll | 1907884032 | 61440 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\taskhost.exe | 3211264 | 61440 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 4 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 7 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 26 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 4 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 2 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\dwmapi.dll | 1942749184 | 77824 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\MsCtfMonitor.dll | 1904148480 | 32768 | 2 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\MSUTB.dll | 1898250240 | 180224 | 2 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 2 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 2 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\System32\PlaySndSrv.dll | 1897332736 | 90112 | 2 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\dimsjob.dll | 1897267200 | 45056 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\taskschd.dll | 1896742912 | 503808 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\System32\netprofm.dll | 1896349696 | 368640 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\System32\nlaapi.dll | 1949106176 | 65536 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\System32\npmproxy.dll | 1896284160 | 32768 | 1 |
| 1492 | taskhost.exe | "taskhost.exe" | C:\Windows\system32\WINMM.dll | 1889271808 | 204800 | 2 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Program Files\Everything\Everything.exe | 4194304 | 626688 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | 1946353664 | 1695744 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\comdlg32.dll | 1995112448 | 503808 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 2 |
| 1640 | Everything.exe | "C:\Program Files\Everything\Everything.exe" -startup | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 1 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\VBoxTray.exe | 524288 | 1351680 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\MPR.dll | 1904214016 | 73728 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 65535 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 3 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\WTSAPI32.DLL | 1955856384 | 53248 | 1 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\WINSTA.dll | 1966080000 | 167936 | 2 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\VBoxHook.dll | 1889206272 | 65536 | 2 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 3 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\SspiCli.dll | 1965162496 | 106496 | 1 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\system32\VBoxMRXNP.dll | 1888092160 | 1085440 | 1 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\ntlanman.dll | 1887961088 | 81920 | 1 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\davclnt.dll | 1887830016 | 90112 | 1 |
| 1648 | VBoxTray.exe | "C:\Windows\System32\VBoxTray.exe" | C:\Windows\System32\DAVHLPR.dll | 1887764480 | 32768 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Python27\python.exe | 486539264 | 40960 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\python27.dll | 503316480 | 2506752 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll | 1871970304 | 667648 | 65535 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Python27\DLLs\_socket.pyd | 20578304 | 57344 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 10 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 11 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Python27\DLLs\_ssl.pyd | 268435456 | 1220608 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Python27\DLLs\_hashlib.pyd | 26279936 | 794624 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Python27\DLLs\pyexpat.pyd | 20643840 | 139264 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Python27\DLLs\select.pyd | 487653376 | 24576 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\NLAapi.dll | 1949106176 | 65536 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\DNSAPI.dll | 1959002112 | 278528 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\System32\winrnr.dll | 1941241856 | 32768 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\napinsp.dll | 1941176320 | 65536 | 1 |
| 1704 | python.exe | "C:\Python27\python.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\agent.py" | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\conhost.exe | 3342336 | 282624 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\IMM32.dll | 1982791680 | 126976 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 3 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\dwmapi.dll | 1942749184 | 77824 | 1 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 1 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 4 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.DLL | 1946353664 | 1695744 | 1 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 1 |
| 1768 | conhost.exe | \??\C:\Windows\system32\conhost.exe | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\svchost.exe | 2228224 | 32768 | 65535 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 8 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 62 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 67 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 15 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 15 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 8 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\fdrespub.dll | 1921253376 | 40960 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\wsdapi.dll | 1920598016 | 471040 | 2 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 9 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 20 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 4 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\WINNSI.DLL | 1955594240 | 28672 | 4 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\webservices.dll | 1919549440 | 794624 | 2 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\FirewallAPI.dll | 1954349056 | 483328 | 2 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\VERSION.dll | 1955790848 | 36864 | 2 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 3 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\FunDisc.dll | 1919352832 | 176128 | 2 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\ATL.DLL | 1937702912 | 81920 | 2 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 3 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\dhcpcsvc6.DLL | 1910964224 | 53248 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\WINHTTP.dll | 1911422976 | 360448 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\webio.dll | 1911095296 | 323584 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\HTTPAPI.dll | 1919156224 | 45056 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\pcwum.dll | 1955921920 | 45056 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\wkscli.dll | 1940193280 | 61440 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\System32\msxml6.dll | 1917714432 | 1404928 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\XmlLite.dll | 1942552576 | 192512 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\fntcache.dll | 1811283968 | 811008 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | c:\windows\system32\ktmw32.dll | 1934032896 | 36864 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 1900 | svchost.exe | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\firefox.exe | 458752 | 401408 | 65535 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\mozglue.dll | 1915027456 | 118784 | 18 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 16 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 699 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\MSVCR120.dll | 1913913344 | 974848 | 49 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\MSVCP120.dll | 1870594048 | 462848 | 25 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\nss3.dll | 1868890112 | 1703936 | 9 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WINMM.dll | 1889271808 | 204800 | 15 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 503 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 457 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 93 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 96 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WSOCK32.dll | 1913847808 | 28672 | 11 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 73 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 389 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 109 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 77 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 230 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 12 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 9 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\sandboxbroker.dll | 1868627968 | 217088 | 4 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\xul.dll | 1831403520 | 37224448 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\icuin52.dll | 1830289408 | 1089536 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\icuuc52.dll | 1829437440 | 839680 | 6 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\icudt52.dll | 1819017216 | 10395648 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\NETAPI32.dll | 1940324352 | 69632 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\netutils.dll | 1940258816 | 36864 | 4 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\srvcli.dll | 1964572672 | 102400 | 4 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\wkscli.dll | 1940193280 | 61440 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\SAMCLI.DLL | 1940127744 | 61440 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 15 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 51 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 66 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\MSIMG32.dll | 1913782272 | 20480 | 4 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 17 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WINNSI.DLL | 1955594240 | 28672 | 17 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\UxTheme.dll | 1945829376 | 262144 | 7 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 8 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 21 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 40 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 8 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 5 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 23 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 29 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\pdh.dll | 1818755072 | 245760 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\dwmapi.dll | 1942749184 | 77824 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\dwrite.dll | 1816657920 | 1085440 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\dbghelp.dll | 1817772032 | 962560 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 4 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 1946353664 | 1695744 | 9 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\propsys.dll | 1948057600 | 1003520 | 10 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\Dnsapi.dll | 1959002112 | 278528 | 4 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 5 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\browser\components\browsercomps.dll | 1913716736 | 57344 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 6 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\NLAapi.dll | 1949106176 | 65536 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\System32\winrnr.dll | 1941241856 | 32768 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\napinsp.dll | 1941176320 | 65536 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\wbem\wbemprox.dll | 1908015104 | 40960 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\wbemcomn.dll | 1909063680 | 376832 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 5 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\wbem\wbemsvc.dll | 1906638848 | 61440 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\wbem\fastprox.dll | 1908211712 | 614400 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\NTDSAPI.dll | 1908080640 | 98304 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 13 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WINSTA.dll | 1966080000 | 167936 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\System32\MMDevApi.dll | 1952251904 | 233472 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\AUDIOSES.DLL | 1887240192 | 221184 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\d3d11.dll | 1814429696 | 536576 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\dxgi.dll | 1902444544 | 536576 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\D3D10Warp.dll | 1813512192 | 880640 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\d2d1.dll | 1812660224 | 847872 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\mscms.dll | 1812135936 | 495616 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\explorerframe.dll | 1898446848 | 1503232 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\DUser.dll | 1943207936 | 192512 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\DUI70.dll | 1943404544 | 729088 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\softokn3.dll | 1811087360 | 159744 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\nssdbm3.dll | 1810956288 | 98304 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\freebl3.dll | 1810563072 | 352256 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Program Files\Nightly\nssckbi.dll | 1810104320 | 438272 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\dhcpcsvc6.DLL | 1910964224 | 53248 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\rasadhlp.dll | 1941110784 | 24576 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\System32\fwpuclnt.dll | 1935998976 | 229376 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WININET.dll | 1982922752 | 999424 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\Normaliz.dll | 1992097792 | 12288 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\urlmon.dll | 1983971328 | 1265664 | 5 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\iertutil.dll | 1992163328 | 2068480 | 8 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\RASAPI32.dll | 1924988928 | 335872 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\rasman.dll | 1924857856 | 86016 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\rtutils.dll | 1940455424 | 53248 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\sensapi.dll | 1810038784 | 24576 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\PSAPI.DLL | 1988558848 | 20480 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WindowsCodecs.dll | 1941504000 | 1028096 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\EhStorShell.dll | 1897988096 | 200704 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\ntshrui.dll | 1897529344 | 454656 | 2 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\cscapi.dll | 1903951872 | 45056 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\slc.dll | 1938030592 | 40960 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\imagehlp.dll | 1986723840 | 172032 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\ncrypt.dll | 1961820160 | 229376 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\bcrypt.dll | 1961689088 | 94208 | 9 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\bcryptprimitives.dll | 1957298176 | 249856 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\GPAPI.dll | 1956118528 | 90112 | 3 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\cryptnet.dll | 1809907712 | 114688 | 12 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\System32\netprofm.dll | 1896349696 | 368640 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\System32\npmproxy.dll | 1896284160 | 32768 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\SHDOCVW.dll | 1891368960 | 188416 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\WINHTTP.dll | 1911422976 | 360448 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\webio.dll | 1911095296 | 323584 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\Cabinet.dll | 1809776640 | 86016 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\DEVRTL.dll | 1956380672 | 57344 | 1 |
| 1016 | firefox.exe | "C:\Program Files\Nightly\firefox.exe" | C:\Windows\system32\MPR.dll | 1904214016 | 73728 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\plugin-container.exe | 3670016 | 290816 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\WINMM.dll | 1889271808 | 204800 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 6 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\xul.dll | 1831403520 | 37224448 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\nss3.dll | 1868890112 | 1703936 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\WSOCK32.dll | 1913847808 | 28672 | 4 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 47 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 50 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\MSVCR120.dll | 1913913344 | 974848 | 15 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\mozglue.dll | 1915027456 | 118784 | 5 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 6 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\MSVCP120.dll | 1870594048 | 462848 | 11 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\icuin52.dll | 1830289408 | 1089536 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\icuuc52.dll | 1829437440 | 839680 | 4 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\icudt52.dll | 1819017216 | 10395648 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\sandboxbroker.dll | 1868627968 | 217088 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\NETAPI32.dll | 1940324352 | 69632 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\netutils.dll | 1940258816 | 36864 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\srvcli.dll | 1964572672 | 102400 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\wkscli.dll | 1940193280 | 61440 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\SAMCLI.DLL | 1940127744 | 61440 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 6 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 11 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 15 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\MSIMG32.dll | 1913782272 | 20480 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\WINNSI.DLL | 1955594240 | 28672 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\UxTheme.dll | 1945829376 | 262144 | 4 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 8 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 9 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 6 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\pdh.dll | 1818755072 | 245760 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\dwmapi.dll | 1942749184 | 77824 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Program Files\Nightly\browser\components\browsercomps.dll | 1913716736 | 57344 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 3 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 1946353664 | 1695744 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\propsys.dll | 1948057600 | 1003520 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\NLAapi.dll | 1949106176 | 65536 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\DNSAPI.dll | 1959002112 | 278528 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\System32\winrnr.dll | 1941241856 | 32768 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\napinsp.dll | 1941176320 | 65536 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\d3d11.dll | 1814429696 | 536576 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\dxgi.dll | 1902444544 | 536576 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\D3D10Warp.dll | 1813512192 | 880640 | 2 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\d2d1.dll | 1812660224 | 847872 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\mscms.dll | 1812135936 | 495616 | 1 |
| 1744 | plugin-contain | "C:\Program Files\Nightly\plugin-container.exe" --channel=1016.d811700.876709016 -greomni "C:\Program Files\Nightly\omni.ja" -appomni "C:\Program Files\Nightly\browser\omni.ja" -sandbox -appdir "C:\Program Files\Nightly\browser" 1016 "\\.\pipe\gecko-crash-server-pipe.1016" tab | C:\Windows\system32\PSAPI.DLL | 1988558848 | 20480 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\Steam.exe | 13631488 | 3424256 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | 1946353664 | 1695744 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 16 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 8 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\psapi.dll | 1988558848 | 20480 | 35 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\crashhandler.dll | 1901658112 | 749568 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\WININET.dll | 1982922752 | 999424 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\Normaliz.dll | 1992097792 | 12288 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\urlmon.dll | 1983971328 | 1265664 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 21 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 23 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\iertutil.dll | 1992163328 | 2068480 | 6 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\dwmapi.dll | 1942749184 | 77824 | 10 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\cryptbase.dll | 1965621248 | 49152 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\steamui.dll | 1794637824 | 10055680 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\WINMM.dll | 1889271808 | 204800 | 32 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\COMDLG32.dll | 1995112448 | 503808 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\SDL2.dll | 1804992512 | 798720 | 5 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 11 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\tier0_s.dll | 1815871488 | 724992 | 24 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\v8.dll | 1789591552 | 5033984 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\icui18n.dll | 1787953152 | 1634304 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\icuuc.dll | 1786707968 | 1236992 | 6 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\video.dll | 1783758848 | 2895872 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\WSOCK32.dll | 1913847808 | 28672 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\libavcodec-56.dll | 1780482048 | 3235840 | 6 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\libavutil-54.dll | 1815347200 | 483328 | 15 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\libavformat-56.dll | 1779957760 | 495616 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\libavresample-2.dll | 1779564544 | 352256 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\libswscale-3.dll | 1779040256 | 507904 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\vstdlib_s.dll | 1903558656 | 339968 | 12 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\OPENGL32.dll | 1778188288 | 819200 | 16 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\GLU32.dll | 1901461504 | 139264 | 8 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\DDRAW.dll | 1777205248 | 946176 | 8 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\DCIMAN32.dll | 1903493120 | 24576 | 8 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 17 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 46 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 17 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\bin\filesystem_stdio.DLL | 1777008640 | 184320 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\bin\vgui2_s.DLL | 1776222208 | 741376 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\MSIMG32.dll | 1913782272 | 20480 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\bin\chromehtml.DLL | 1775435776 | 724992 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\DWrite.dll | 1816657920 | 1085440 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\steamclient.dll | 939524096 | 9908224 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 13 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\WINNSI.DLL | 1955594240 | 28672 | 13 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\imagehlp.dll | 1986723840 | 172032 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\Secur32.dll | 1965031424 | 32768 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 7 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\wbem\wbemprox.dll | 1908015104 | 40960 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\wbemcomn.dll | 1909063680 | 376832 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\Wlanapi.dll | 1923940352 | 90112 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\wlanutil.dll | 1938948096 | 24576 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\bin\steamservice.dll | 1736507392 | 3670016 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\dbghelp.dll | 1735327744 | 1134592 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\FirewallAPI.dll | 1954349056 | 483328 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\MMDevAPI.DLL | 1952251904 | 233472 | 14 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\PROPSYS.dll | 1948057600 | 1003520 | 18 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\wdmaud.drv | 1887567872 | 196608 | 7 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\ksuser.dll | 1887502336 | 16384 | 7 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\AVRT.dll | 1952055296 | 28672 | 7 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\AUDIOSES.DLL | 1887240192 | 221184 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\wbem\wbemsvc.dll | 1906638848 | 61440 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\wbem\fastprox.dll | 1908211712 | 614400 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\NTDSAPI.dll | 1908080640 | 98304 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\msacm32.drv | 1887174656 | 32768 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\MSACM32.dll | 1887043584 | 81920 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\midimap.dll | 1886978048 | 28672 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\dsound.dll | 1734803456 | 466944 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\POWRPROF.dll | 1952514048 | 151552 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\dhcpcsvc6.DLL | 1910964224 | 53248 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\hid.dll | 1942880256 | 36864 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\explorerframe.dll | 1898446848 | 1503232 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\DUser.dll | 1943207936 | 192512 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\DUI70.dll | 1943404544 | 729088 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\winhttp.dll | 1911422976 | 360448 | 5 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\webio.dll | 1911095296 | 323584 | 5 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 5 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\NLAapi.dll | 1949106176 | 65536 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\DNSAPI.dll | 1959002112 | 278528 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\System32\winrnr.dll | 1941241856 | 32768 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\napinsp.dll | 1941176320 | 65536 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\System32\fwpuclnt.dll | 1935998976 | 229376 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\rasadhlp.dll | 1941110784 | 24576 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\peerdist.dll | 1941307392 | 151552 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 5 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\AUTHZ.dll | 1962082304 | 110592 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\actxprxy.dll | 1895432192 | 319488 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 13 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\System32\gameux.dll | 1892810752 | 2588672 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll | 1944190976 | 1638400 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\System32\XmlLite.dll | 1942552576 | 192512 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\System32\wer.dll | 1892417536 | 393216 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | c:\program files\steam\bin\friendsui.DLL | 1729363968 | 2629632 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | c:\program files\steam\bin\serverbrowser.DLL | 1727528960 | 1794048 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\VBoxOGLcrutil.dll | 1724710912 | 1372160 | 14 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\VBoxOGLpackspu.dll | 1722941440 | 1708032 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\VBoxOGLerrorspu.dll | 1734148096 | 135168 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\VBoxOGLfeedbackspu.dll | 1722023936 | 884736 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\VBoxOGLpassthroughspu.dll | 1734017024 | 94208 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\VBoxD3D9.dll | 1733689344 | 270336 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\wined3d.dll | 1720320000 | 1662976 | 2 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\VBoxOGL.dll | 1718878208 | 1425408 | 4 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\System32\dinput8.dll | 1733492736 | 196608 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\GPAPI.dll | 1956118528 | 90112 | 3 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\cryptnet.dll | 1809907712 | 114688 | 12 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\SensApi.dll | 1810038784 | 24576 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Program Files\Steam\bin\XInput1_3.dll | 123338752 | 81920 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\Cabinet.dll | 1809776640 | 86016 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\DEVRTL.dll | 1956380672 | 57344 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\ncrypt.dll | 1961820160 | 229376 | 1 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\bcrypt.dll | 1961689088 | 94208 | 8 |
| 3064 | Steam.exe | "C:\Program Files\Steam\Steam.exe" | C:\Windows\system32\bcryptprimitives.dll | 1957298176 | 249856 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Program Files\Steam\bin\steamwebhelper.exe | 8847360 | 1998848 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Program Files\Steam\bin\libcef.dll | 1740177408 | 35209216 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\PSAPI.DLL | 1988558848 | 20480 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | 1946353664 | 1695744 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\Secur32.dll | 1965031424 | 32768 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\OLEACC.dll | 1873084416 | 245760 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\WINMM.dll | 1889271808 | 204800 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 3 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 2 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 13 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 34 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\NLAapi.dll | 1949106176 | 65536 | 6 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\IPHLPAPI.DLL | 1955659776 | 114688 | 9 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\WINNSI.DLL | 1955594240 | 28672 | 9 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\dhcpcsvc6.DLL | 1910964224 | 53248 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\audioses.dll | 1887240192 | 221184 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\MMDevAPI.DLL | 1952251904 | 233472 | 3 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\PROPSYS.dll | 1948057600 | 1003520 | 4 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 2 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 7 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 2 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\dwmapi.dll | 1942749184 | 77824 | 2 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\dhcpcsvc.DLL | 1938817024 | 73728 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 2 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 3 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Program Files\Steam\crashhandler.dll | 1901658112 | 749568 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\WININET.dll | 1982922752 | 999424 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\Normaliz.dll | 1992097792 | 12288 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\urlmon.dll | 1983971328 | 1265664 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\iertutil.dll | 1992163328 | 2068480 | 2 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\WINHTTP.dll | 1911422976 | 360448 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\webio.dll | 1911095296 | 323584 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 5 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\System32\wship6.dll | 1960247296 | 24576 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\rasadhlp.dll | 1941110784 | 24576 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\system32\DNSAPI.dll | 1959002112 | 278528 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 3108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" -cefhost -cachedir "C:\Users\Administrator\AppData\Local\Steam\htmlcache" -steampid 3064 -buildid 1427176184 -steamid "0" --blacklist-accelerated-compositing --process-per-tab --disable-accelerated-video-decode --enable-direct-write | C:\Windows\System32\fwpuclnt.dll | 1935998976 | 229376 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Program Files\Steam\bin\steamwebhelper.exe | 8847360 | 1998848 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Program Files\Steam\bin\libcef.dll | 1740177408 | 35209216 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\PSAPI.DLL | 1988558848 | 20480 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | 1946353664 | 1695744 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\Secur32.dll | 1965031424 | 32768 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\OLEACC.dll | 1873084416 | 245760 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\WINMM.dll | 1889271808 | 204800 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Program Files\Steam\crashhandler.dll | 1901658112 | 749568 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\WININET.dll | 1982922752 | 999424 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\Normaliz.dll | 1992097792 | 12288 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\urlmon.dll | 1983971328 | 1265664 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\iertutil.dll | 1992163328 | 2068480 | 2 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Program Files\Steam\bin\ffmpegsumo.dll | 1712848896 | 2994176 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\cryptbase.dll | 1965621248 | 49152 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\dwrite.dll | 1816657920 | 1085440 | 1 |
| 3896 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.1.80896586\433772780" /prefetch:673131151 | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 3 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Program Files\Steam\bin\steamwebhelper.exe | 8847360 | 1998848 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Program Files\Steam\bin\libcef.dll | 1740177408 | 35209216 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\PSAPI.DLL | 1988558848 | 20480 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\USERENV.dll | 1956249600 | 94208 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\profapi.dll | 1966342144 | 45056 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | 1946353664 | 1695744 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\Secur32.dll | 1965031424 | 32768 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\SSPICLI.DLL | 1965162496 | 106496 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\OLEACC.dll | 1873084416 | 245760 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\WINMM.dll | 1889271808 | 204800 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\VERSION.dll | 1955790848 | 36864 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Program Files\Steam\crashhandler.dll | 1901658112 | 749568 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\WININET.dll | 1982922752 | 999424 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\Normaliz.dll | 1992097792 | 12288 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\urlmon.dll | 1983971328 | 1265664 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\iertutil.dll | 1992163328 | 2068480 | 2 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Program Files\Steam\bin\ffmpegsumo.dll | 1712848896 | 2994176 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\cryptbase.dll | 1965621248 | 49152 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\dwrite.dll | 1816657920 | 1085440 | 1 |
| 2108 | steamwebhelper | "C:\Program Files\Steam\bin\steamwebhelper.exe" --type=renderer --disable-accelerated-video-decode --disable-delegated-renderer --disable-gpu-compositing --disable-threaded-compositing --enable-pinch --enable-software-compositing --no-sandbox --enable-direct-write --lang=en-US --lang=en-US --product-version="Valve Steam Client" --disable-accelerated-compositing --disable-gpu-compositing --channel="3108.2.1096012805\51480629" /prefetch:673131151 | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 3 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Python27\python.exe | 486539264 | 40960 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\python27.dll | 503316480 | 2506752 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\SHELL32.dll | 1969881088 | 12881920 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\SHLWAPI.dll | 1987248128 | 356352 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll | 1871970304 | 667648 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Python27\DLLs\_socket.pyd | 2621440 | 57344 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 6 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 6 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Python27\DLLs\_ssl.pyd | 268435456 | 1220608 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Python27\DLLs\_hashlib.pyd | 26345472 | 794624 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Python27\DLLs\pyexpat.pyd | 5111808 | 139264 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Python27\DLLs\_ctypes.pyd | 488243200 | 98304 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 2 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\mswsock.dll | 1960312832 | 245760 | 2 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\System32\wshtcpip.dll | 1954873344 | 20480 | 1 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\apphelp.dll | 1965293568 | 307200 | 65535 |
| 2152 | python.exe | C:\Python27\python.exe C:\bxlzwmpt\analyzer.py | C:\Windows\system32\uxtheme.dll | 1945829376 | 262144 | 2 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wbem\wmiprvse.exe | 3473408 | 266240 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\SYSTEM32\ntdll.dll | 1998520320 | 1294336 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\kernel32.dll | 1987641344 | 868352 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\KERNELBASE.dll | 1968570368 | 303104 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\ADVAPI32.dll | 1985282048 | 655360 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\msvcrt.dll | 1997668352 | 704512 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\SYSTEM32\sechost.dll | 1998389248 | 102400 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\RPCRT4.dll | 1985937408 | 659456 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\USER32.dll | 1988624384 | 823296 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\GDI32.dll | 2000486400 | 319488 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\LPK.dll | 1986658304 | 40960 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\USP10.dll | 1991442432 | 643072 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wbemcomn.dll | 1909063680 | 376832 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\OLEAUT32.dll | 1995636736 | 585728 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\ole32.dll | 1996226560 | 1425408 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\WS2_32.dll | 1989476352 | 217088 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\NSI.dll | 1999831040 | 24576 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wbem\FastProx.dll | 1908211712 | 614400 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\NTDSAPI.dll | 1908080640 | 98304 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\NCObjAPI.DLL | 1904869376 | 61440 | 65535 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\IMM32.DLL | 1982791680 | 126976 | 2 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\MSCTF.dll | 1994260480 | 835584 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\CRYPTBASE.dll | 1965621248 | 49152 | 2 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\ntmarta.dll | 1955397632 | 135168 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\WLDAP32.dll | 1986920448 | 282624 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\CLBCatQ.DLL | 1999896576 | 536576 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wbem\wbemprox.dll | 1908015104 | 40960 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\CRYPTSP.dll | 1960574976 | 90112 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\rsaenh.dll | 1958084608 | 241664 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\RpcRtRemote.dll | 1966276608 | 57344 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wbem\wbemsvc.dll | 1906638848 | 61440 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wbem\wmiutils.dll | 1905917952 | 94208 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wbem\cimwin32.dll | 1711472640 | 1351680 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\framedynos.dll | 1732378624 | 217088 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\SspiCli.dll | 1965162496 | 106496 | 4 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\WTSAPI32.dll | 1955856384 | 53248 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\WMI.DLL | 1804926976 | 12288 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\DEVOBJ.dll | 1968242688 | 73728 | 2 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\CFGMGR32.dll | 1968373760 | 159744 | 5 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\SETUPAPI.dll | 1989738496 | 1691648 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\WINTRUST.dll | 1966866432 | 184320 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\CRYPT32.dll | 1967063040 | 1163264 | 2 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\MSASN1.dll | 1966800896 | 49152 | 3 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\WINBRAND.dll | 1804861440 | 28672 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\SECURITY.DLL | 1804795904 | 12288 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\SECUR32.DLL | 1965031424 | 32768 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\credssp.dll | 1957953536 | 32768 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\schannel.DLL | 1958543360 | 233472 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\NETAPI32.DLL | 1940324352 | 69632 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\netutils.dll | 1940258816 | 36864 | 6 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\srvcli.dll | 1964572672 | 102400 | 11 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wkscli.dll | 1940193280 | 61440 | 6 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\SAMCLI.DLL | 1940127744 | 61440 | 14 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\LOGONCLI.DLL | 1958805504 | 139264 | 4 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\BROWCLI.DLL | 1804730368 | 53248 | 1 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\SCHEDCLI.DLL | 1734410240 | 32768 | 4 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\DSROLE.DLL | 1938096128 | 36864 | 2 |
| 1948 | WmiPrvSE.exe | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\cscapi.dll | 1903951872 | 45056 | 1 |
| PID | Handle name | Handle type | Handle value | Handle granted access | |
|---|---|---|---|---|---|
| 4 | System(4) | Process | 4 | 2097151 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\HIVELIST | Key | 8 | 131103 | |
| 4 | Key | 12 | 0 | ||
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\PRODUCTOPTIONS | Key | 16 | 131103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER\MEMORY MANAGEMENT\PREFETCHPARAMETERS | Key | 20 | 983103 | |
| 4 | MACHINE\SYSTEM\SETUP | Key | 24 | 131103 | |
| 4 | PowerMonitorPort | ALPC Port | 28 | 2031617 | |
| 4 | PowerPort | ALPC Port | 32 | 2031617 | |
| 4 | MACHINE\HARDWARE\DESCRIPTION\SYSTEM\MULTIFUNCTIONADAPTER | Key | 36 | 131097 | |
| 4 | Token | 40 | 14 | ||
| 4 | MACHINE\SYSTEM\CONTROLSET001 | Key | 44 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\ENUM | Key | 48 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS | Key | 52 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES | Key | 56 | 983103 | |
| 4 | SeRmCommandPort | ALPC Port | 60 | 2031617 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\FILESYSTEM | Key | 64 | 16 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\WMI\SECURITY | Key | 68 | 131097 | |
| 4 | lsass.exe(432) | Process | 72 | 42 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\VIDEO\{10207584-C4D9-45A1-A8B5-D511A5E0262E}\0000\VOLATILESETTINGS | Key | 76 | 131103 | |
| 4 | smss.exe(212) | Process | 80 | 42 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 84 | 983103 | |
| 4 | lsass.exe(432) | Process | 88 | 42 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA | Key | 92 | 17 | |
| 4 | TID 236 PID 4 | Thread | 96 | 0 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E972-E325-11CE-BFC1-08002BE10318}\0001 | Key | 100 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NDPROXY | Key | 104 | 11 | |
| 4 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 108 | 9 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA | Key | 112 | 16 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\INITVERBS | Key | 116 | 983103 | |
| 4 | MACHINE\HARDWARE\DESCRIPTION\SYSTEM\BIOS | Key | 120 | 131097 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000 | Key | 124 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 128 | 983103 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl | File | 132 | 1245323 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 136 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 140 | 983103 | |
| 4 | TmRm | 144 | 1179775 | ||
| 4 | TmTm | 148 | 983103 | ||
| 4 | TmRm | 152 | 2031743 | ||
| 4 | \Device\clfsKtmLog | File | 156 | 1180063 | |
| 4 | \Device\clfs\Device\HarddiskVolume2\$Extend\$RmMetadata\$TxfLog\$TxfLog | File | 160 | 1245599 | |
| 4 | \Device\clfs\Device\HarddiskVolume2\$Extend\$RmMetadata\$TxfLog\$TxfLog | File | 164 | 1180063 | |
| 4 | \Device\HarddiskVolume2 | File | 168 | 1 | |
| 4 | \Device\clfs\Device\HarddiskVolume2\$Extend\$RmMetadata\$TxfLog\$TxfLog | File | 172 | 1245599 | |
| 4 | \Device\HarddiskVolume2\$Extend\$RmMetadata\$TxfLog\$TxfLogContainer00000000000000000002 | File | 176 | 1180063 | |
| 4 | \Device\clfsTxfLog | File | 180 | 1180063 | |
| 4 | \Device\HarddiskVolume2\$Extend\$RmMetadata\$TxfLog\$TxfLogContainer00000000000000000001 | File | 184 | 1180063 | |
| 4 | \Device\HarddiskVolume2\$Extend\$RmMetadata\$TxfLog\$TxfLog.blf | File | 188 | 1180063 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 192 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\MUP | Key | 196 | 131097 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\PCW\SECURITY | Key | 200 | 131103 | |
| 4 | System(4) | Process | 204 | 5184 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001 | Key | 208 | 131097 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\FILESYSTEM | Key | 212 | 16 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\POLICIES | Key | 216 | 16 | |
| 4 | MACHINE\SYSTEM\RNG | Key | 220 | 2 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NDIS\IFTYPES\23 | Key | 224 | 11 | |
| 4 | Token | 228 | 983551 | ||
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NDIS\IFTYPES\1 | Key | 232 | 11 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NDIS\IFTYPES\131 | Key | 236 | 11 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NDIS\IFTYPES\24 | Key | 240 | 11 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NDIS\IFTYPES\6 | Key | 244 | 11 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NDIS\IFTYPES\71 | Key | 248 | 11 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 252 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NETWORKPROVIDER\ORDER | Key | 256 | 16 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 260 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 264 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 268 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 272 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 276 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 280 | 983103 | |
| 4 | Harddisk0 | Directory | 284 | 983055 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 288 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 292 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 296 | 983103 | |
| 4 | \Device\KsecDD | File | 300 | 1048577 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 304 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 308 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 312 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 316 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 320 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 324 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 328 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 332 | 983103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0000\MIXERSETTINGS | Key | 336 | 983103 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\RegBack\SYSTEM | File | 340 | 65539 | |
| 4 | \Device\HarddiskVolume1\$Extend\$RmMetadata\$TxfLog\$TxfLog.blf | File | 344 | 1180063 | |
| 4 | MACHINE\HARDWARE\DESCRIPTION\SYSTEM\BIOS | Key | 348 | 131097 | |
| 4 | EFSInitEvent | Event | 352 | 2 | |
| 4 | \Device\Tcp | File | 356 | 1180063 | |
| 4 | \Device\HarddiskVolume1\$Extend\$RmMetadata\$TxfLog\$TxfLogContainer00000000000000000001 | File | 360 | 1180063 | |
| 4 | \Device\HarddiskVolume1\$Extend\$RmMetadata\$TxfLog\$TxfLogContainer00000000000000000002 | File | 364 | 1180063 | |
| 4 | \Device\clfsTxfLog | File | 368 | 1180063 | |
| 4 | \Device\clfs\Device\HarddiskVolume1\$Extend\$RmMetadata\$TxfLog\$TxfLog | File | 372 | 1245599 | |
| 4 | \Device\HarddiskVolume1 | File | 376 | 1 | |
| 4 | \Device\clfs\Device\HarddiskVolume1\$Extend\$RmMetadata\$TxfLog\$TxfLog | File | 380 | 1180063 | |
| 4 | \Device\clfs\Device\HarddiskVolume1\$Extend\$RmMetadata\$TxfLog\$TxfLog | File | 384 | 1245599 | |
| 4 | \Device\clfsKtmLog | File | 388 | 1180063 | |
| 4 | TmRm | 392 | 2031743 | ||
| 4 | TmTm | 396 | 983103 | ||
| 4 | TmRm | 400 | 1179775 | ||
| 4 | \Device\HarddiskVolume2\Windows\System32\config\TxR\{5749f44f-7fe2-11de-916a-005056c00008}.TMContainer00000000000000000001.regtrans-ms | File | 404 | 1180063 | |
| 4 | \Device\HarddiskVolume1\Boot\BCD | File | 408 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\TxR\{5749f44f-7fe2-11de-916a-005056c00008}.TMContainer00000000000000000002.regtrans-ms | File | 412 | 1180063 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl | File | 416 | 1245323 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\RegBack\SOFTWARE | File | 420 | 65539 | |
| 4 | TmRm | 424 | 2031743 | ||
| 4 | \Device\HarddiskVolume1\Boot\BCD.LOG | File | 428 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\wfp\wfpdiag.etl | File | 432 | 1179787 | |
| 4 | \Device\HarddiskVolume2\pagefile.sys | File | 436 | 1310723 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SYSTEM | File | 440 | 131075 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SOFTWARE | File | 444 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SOFTWARE.LOG1 | File | 448 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SOFTWARE.LOG2 | File | 452 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\system.LOG1 | File | 456 | 3 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\system.LOG2 | File | 460 | 3 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\TxR\{5749f44f-7fe2-11de-916a-005056c00008}.TM.blf | File | 464 | 1180063 | |
| 4 | \Device\clfs\SystemRoot\System32\Config\TxR\{5749f44f-7fe2-11de-916a-005056c00008}.TM | File | 468 | 1180063 | |
| 4 | \Device\clfs\SystemRoot\System32\Config\TxR\{5749f44f-7fe2-11de-916a-005056c00008}.TM | File | 472 | 1180063 | |
| 4 | TmRm | 476 | 2031743 | ||
| 4 | TmTm | 480 | 983103 | ||
| 4 | \Device\HarddiskVolume2\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl | File | 484 | 1245323 | |
| 4 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS | Key | 488 | 16 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl | File | 492 | 1245323 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\RegBack\DEFAULT | File | 496 | 65539 | |
| 4 | UniqueSessionIdEvent | Event | 500 | 2031619 | |
| 4 | Session0 | Session | 504 | 1 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\DEFAULT | File | 508 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\default.LOG1 | File | 512 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\default.LOG2 | File | 516 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\en-US\win32k.sys.mui | File | 520 | 1179785 | |
| 4 | WindowStations | Directory | 524 | 4 | |
| 4 | ALPC Port | 528 | 2031617 | ||
| 4 | Session1 | Session | 532 | 1 | |
| 4 | wininit.exe(324) | Process | 536 | 42 | |
| 4 | UniqueInteractiveSessionIdEvent | Event | 540 | 2031619 | |
| 4 | Token | 544 | 14 | ||
| 4 | IoCompletion | 548 | 2031619 | ||
| 4 | TID 356 PID 4 | Thread | 552 | 2097151 | |
| 4 | WindowStations | Directory | 556 | 4 | |
| 4 | winlogon.exe(376) | Process | 560 | 42 | |
| 4 | ALPC Port | 564 | 2031617 | ||
| 4 | EventShutDownCSRSS | Event | 568 | 2031619 | |
| 4 | Session1 | Session | 572 | 0 | |
| 4 | Token | 576 | 14 | ||
| 4 | Session1 | Session | 580 | 0 | |
| 4 | Session1 | Session | 584 | 0 | |
| 4 | Session1 | Session | 588 | 0 | |
| 4 | Session1 | Session | 592 | 0 | |
| 4 | Session1 | Session | 596 | 0 | |
| 4 | Session1 | Session | 600 | 0 | |
| 4 | Session1 | Session | 604 | 0 | |
| 4 | Disconnect | Desktop | 608 | 983043 | |
| 4 | svchost.exe(788) | Process | 612 | 42 | |
| 4 | Session1 | Session | 616 | 0 | |
| 4 | \Device\Tcp | File | 620 | 1180063 | |
| 4 | Disconnect | Desktop | 624 | 983043 | |
| 4 | \Device\Tcp | File | 628 | 1180063 | |
| 4 | firefox.exe(1016) | Process | 632 | 42 | |
| 4 | \Device\Tcp | File | 636 | 1180063 | |
| 4 | \Device\Tcp | File | 640 | 1180063 | |
| 4 | \Device\Tcp | File | 644 | 1180063 | |
| 4 | \Device\Tcp | File | 648 | 1180063 | |
| 4 | \Device\Tcp | File | 652 | 1180063 | |
| 4 | \Device\Tcp | File | 656 | 1180063 | |
| 4 | \Device\Tcp | File | 660 | 1180063 | |
| 4 | \Device\Tcp | File | 664 | 1180063 | |
| 4 | \Device\Tcp | File | 668 | 1180063 | |
| 4 | \Device\Tcp | File | 672 | 1180063 | |
| 4 | \Device\Tcp | File | 676 | 1180063 | |
| 4 | \Device\Udp | File | 680 | 1180063 | |
| 4 | \Device\Udp | File | 684 | 1180063 | |
| 4 | \Device\Tcp | File | 688 | 1180063 | |
| 4 | \Device\Tcp | File | 692 | 1180063 | |
| 4 | \Device\Tcp | File | 696 | 1180063 | |
| 4 | \Device\Tcp | File | 700 | 1180063 | |
| 4 | Token | 704 | 983551 | ||
| 4 | \Device\Tcp | File | 708 | 1180063 | |
| 4 | \Device\Tcp | File | 712 | 1180063 | |
| 4 | \Device\Tcp | File | 716 | 1180063 | |
| 4 | \Device\Tcp | File | 720 | 1180063 | |
| 4 | \Device\Tcp | File | 724 | 1180063 | |
| 4 | \Device\Tcp | File | 728 | 1180063 | |
| 4 | \Device\Tcp | File | 732 | 1180063 | |
| 4 | \Device\Tcp | File | 736 | 1180063 | |
| 4 | Token | 740 | 983551 | ||
| 4 | \Device\Tcp | File | 744 | 1180063 | |
| 4 | \Device\Tcp | File | 748 | 1180063 | |
| 4 | \Device\Tcp | File | 752 | 1180063 | |
| 4 | \Device\Tcp | File | 756 | 1180063 | |
| 4 | \Device\Tcp | File | 760 | 1180063 | |
| 4 | \Device\Tcp | File | 764 | 1180063 | |
| 4 | \Device\Tcp | File | 768 | 1180063 | |
| 4 | \Device\Tcp | File | 772 | 1180063 | |
| 4 | \Device\Tcp | File | 776 | 1180063 | |
| 4 | \Device\Tcp | File | 780 | 1180063 | |
| 4 | \Device\Tcp | File | 784 | 1180063 | |
| 4 | \Device\Tcp | File | 788 | 1180063 | |
| 4 | \Device\Tcp | File | 792 | 1180063 | |
| 4 | \Device\Tcp | File | 796 | 1180063 | |
| 4 | \Device\Tcp | File | 800 | 1180063 | |
| 4 | \Device\Tcp | File | 804 | 1180063 | |
| 4 | \Device\Tcp | File | 808 | 1180063 | |
| 4 | \Device\Tcp | File | 812 | 1180063 | |
| 4 | \Device\Tcp | File | 816 | 1180063 | |
| 4 | \Device\Tcp | File | 820 | 1180063 | |
| 4 | \Device\Tcp | File | 824 | 1180063 | |
| 4 | \Device\Tcp | File | 828 | 1180063 | |
| 4 | ALPC Port | 832 | 2031617 | ||
| 4 | lsass.exe(432) | Process | 836 | 40 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\RegBack\SECURITY | File | 840 | 65539 | |
| 4 | ALPC Port | 844 | 2031617 | ||
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SECURITY | File | 848 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SECURITY.LOG1 | File | 852 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SECURITY.LOG2 | File | 856 | 33554435 | |
| 4 | lsass.exe(432) | Process | 860 | 5176 | |
| 4 | ALPC Port | 864 | 2031617 | ||
| 4 | services.exe(424) | Process | 868 | 42 | |
| 4 | services.exe(424) | Process | 872 | 42 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\RegBack\SAM | File | 876 | 65539 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SAM | File | 880 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SAM.LOG1 | File | 884 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\System32\config\SAM.LOG2 | File | 888 | 33554435 | |
| 4 | lsm.exe(440) | Process | 892 | 42 | |
| 4 | VBoxService.ex(600) | Process | 896 | 42 | |
| 4 | svchost.exe(544) | Process | 900 | 42 | |
| 4 | services.exe(424) | Process | 904 | 42 | |
| 4 | VBoxService.ex(600) | Process | 908 | 42 | |
| 4 | ALPC Port | 912 | 2031617 | ||
| 4 | svchost.exe(544) | Process | 916 | 42 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf | File | 920 | 1180063 | |
| 4 | \Device\HarddiskVolume2 | File | 924 | 3 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\NTUSER.DAT | File | 928 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1 | File | 932 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG2 | File | 936 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms | File | 940 | 1180063 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms | File | 944 | 1180063 | |
| 4 | TmRm | 948 | 2031743 | ||
| 4 | \Device\clfs\Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM | File | 952 | 1180063 | |
| 4 | \Device\clfs\Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM | File | 956 | 1180063 | |
| 4 | TmRm | 960 | 2031743 | ||
| 4 | TmTm | 964 | 983103 | ||
| 4 | 00000000-000003e4 | Directory | 968 | 983055 | |
| 4 | svchost.exe(544) | Process | 972 | 42 | |
| 4 | svchost.exe(652) | Process | 976 | 42 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER\QUOTA SYSTEM | Key | 980 | 9 | |
| 4 | svchost.exe(652) | Process | 984 | 42 | |
| 4 | Token | 988 | 983551 | ||
| 4 | Token | 992 | 983551 | ||
| 4 | svchost.exe(704) | Process | 996 | 40 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf | File | 1000 | 1180063 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\NTUSER.DAT | File | 1004 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1 | File | 1008 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG2 | File | 1012 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms | File | 1016 | 1180063 | |
| 4 | \Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms | File | 1020 | 1180063 | |
| 4 | TmRm | 1024 | 2031743 | ||
| 4 | \Device\clfs\Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM | File | 1028 | 1180063 | |
| 4 | \Device\clfs\Device\HarddiskVolume2\Windows\ServiceProfiles\LocalService\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM | File | 1032 | 1180063 | |
| 4 | TmRm | 1036 | 2031743 | ||
| 4 | TmTm | 1040 | 983103 | ||
| 4 | 00000000-000003e5 | Directory | 1044 | 983055 | |
| 4 | svchost.exe(704) | Process | 1048 | 42 | |
| 4 | svchost.exe(704) | Process | 1052 | 40 | |
| 4 | svchost.exe(788) | Process | 1056 | 42 | |
| 4 | Token | 1060 | 983551 | ||
| 4 | svchost.exe(788) | Process | 1064 | 42 | |
| 4 | svchost.exe(816) | Process | 1068 | 42 | |
| 4 | svchost.exe(704) | Process | 1072 | 40 | |
| 4 | audiodg.exe(904) | Process | 1076 | 42 | |
| 4 | python.exe(1704) | Process | 1080 | 42 | |
| 4 | svchost.exe(704) | Process | 1084 | 42 | |
| 4 | svchost.exe(980) | Process | 1088 | 42 | |
| 4 | svchost.exe(980) | Process | 1092 | 42 | |
| 4 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\GROUP POLICY\STATE\MACHINE | Key | 1096 | 131103 | |
| 4 | Event | 1100 | 2031619 | ||
| 4 | Token | 1104 | 983551 | ||
| 4 | Event | 1108 | 2031619 | ||
| 4 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\GROUP POLICY\STATE\MACHINE | Key | 1112 | 131103 | |
| 4 | Token | 1116 | 14 | ||
| 4 | svchost.exe(816) | Process | 1120 | 42 | |
| 4 | svchost.exe(1112) | Process | 1128 | 42 | |
| 4 | Token | 1132 | 14 | ||
| 4 | ALPC Port | 1136 | 2031617 | ||
| 4 | ALPC Port | 1140 | 2031617 | ||
| 4 | Token | 1144 | 14 | ||
| 4 | Token | 1148 | 14 | ||
| 4 | Token | 1152 | 14 | ||
| 4 | Token | 1156 | 14 | ||
| 4 | Token | 1160 | 14 | ||
| 4 | Token | 1164 | 14 | ||
| 4 | Token | 1168 | 14 | ||
| 4 | Token | 1172 | 14 | ||
| 4 | 00000000-0000d7f3 | Directory | 1176 | 983055 | |
| 4 | svchost.exe(1152) | Process | 1180 | 42 | |
| 4 | python.exe(2152) | Process | 1184 | 42 | |
| 4 | svchost.exe(1152) | Process | 1188 | 42 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf | File | 1192 | 1180063 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\NTUSER.DAT | File | 1196 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\ntuser.dat.LOG1 | File | 1200 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\ntuser.dat.LOG2 | File | 1204 | 33554435 | |
| 4 | services.exe(424) | Process | 1208 | 40 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} | Key | 1212 | 131103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS | Key | 1216 | 131103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{E29AC6C2-7037-11DE-816D-806E6F6E6963} | Key | 1220 | 131103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{922E8397-11C4-4A6B-843E-B1C73621D2C9} | Key | 1224 | 131103 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\PERSISTENTROUTES | Key | 1228 | 131103 | |
| 4 | Token | 1232 | 983551 | ||
| 4 | ALPC Port | 1240 | 2031617 | ||
| 4 | MACHINE\SYSTEM\WPA\8DEC0AF1-0341-4B93-85CD-72606C2DF94C-5P-9 | Key | 1244 | 131097 | |
| 4 | Token | 1248 | 14 | ||
| 4 | \Device\HarddiskVolume2\Windows\System32\LogFiles\WMI\RtBackup\EtwRTSteam Event Tracing.etl | File | 1252 | 1245323 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms | File | 1256 | 1180063 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms | File | 1260 | 1180063 | |
| 4 | TmRm | 1264 | 2031743 | ||
| 4 | \Device\clfs\Device\HarddiskVolume2\Users\Administrator\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM | File | 1268 | 1180063 | |
| 4 | \Device\clfs\Device\HarddiskVolume2\Users\Administrator\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM | File | 1272 | 1180063 | |
| 4 | TmRm | 1276 | 2031743 | ||
| 4 | TmTm | 1280 | 983103 | ||
| 4 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat{d1c9efc1-1e8b-11e4-aaed-080027dc259b}.TM.blf | File | 1284 | 1180063 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat | File | 1288 | 33685507 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 | File | 1292 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 | File | 1296 | 33554435 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat{d1c9efc1-1e8b-11e4-aaed-080027dc259b}.TMContainer00000000000000000001.regtrans-ms | File | 1300 | 1180063 | |
| 4 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat{d1c9efc1-1e8b-11e4-aaed-080027dc259b}.TMContainer00000000000000000002.regtrans-ms | File | 1304 | 1180063 | |
| 4 | TmRm | 1308 | 2031743 | ||
| 4 | \Device\clfs\Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat{d1c9efc1-1e8b-11e4-aaed-080027dc259b}.TM | File | 1312 | 1180063 | |
| 4 | \Device\clfs\Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\UsrClass.dat{d1c9efc1-1e8b-11e4-aaed-080027dc259b}.TM | File | 1316 | 1180063 | |
| 4 | TmRm | 1320 | 2031743 | ||
| 4 | TmTm | 1324 | 983103 | ||
| 4 | explorer.exe(1460) | Process | 1328 | 42 | |
| 4 | Http | Directory | 1332 | 983055 | |
| 4 | dwm.exe(1448) | Process | 1336 | 42 | |
| 4 | svchost.exe(980) | Process | 1340 | 42 | |
| 4 | taskhost.exe(1492) | Process | 1344 | 42 | |
| 4 | ALPC Port | 1348 | 2031617 | ||
| 4 | Token | 1352 | 14 | ||
| 4 | \Device\Mup | File | 1356 | 1179926 | |
| 4 | VBoxTray.exe(1648) | Process | 1360 | 42 | |
| 4 | explorer.exe(1460) | Process | 1364 | 42 | |
| 4 | VBoxTray.exe(1648) | Process | 1368 | 42 | |
| 4 | Token | 1372 | 983551 | ||
| 4 | svchost.exe(1900) | Process | 1376 | 42 | |
| 4 | python.exe(1704) | Process | 1380 | 42 | |
| 4 | Token | 1384 | 983551 | ||
| 4 | TID 1888 PID 4 | Thread | 1388 | 2097151 | |
| 4 | LowMemoryCondition | Event | 1392 | 1 | |
| 4 | TID 1884 PID 4 | Thread | 1396 | 2097151 | |
| 4 | TID 1892 PID 4 | Thread | 1400 | 2097151 | |
| 4 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\HTTP\PARAMETERS\URLACLINFO | Key | 1404 | 131103 | |
| 4 | svchost.exe(1900) | Process | 1408 | 42 | |
| 4 | svchost.exe(1900) | Process | 1412 | 42 | |
| 4 | svchost.exe(1900) | Process | 1416 | 42 | |
| 4 | svchost.exe(1900) | Process | 1420 | 42 | |
| 4 | svchost.exe(1900) | Process | 1424 | 42 | |
| 4 | svchost.exe(1900) | Process | 1428 | 42 | |
| 4 | svchost.exe(1900) | Process | 1432 | 42 | |
| 4 | svchost.exe(1900) | Process | 1436 | 42 | |
| 4 | Token | 1440 | 983551 | ||
| 4 | svchost.exe(1900) | Process | 1444 | 42 | |
| 4 | svchost.exe(1900) | Process | 1448 | 42 | |
| 4 | svchost.exe(1900) | Process | 1452 | 42 | |
| 4 | svchost.exe(980) | Process | 1456 | 42 | |
| 4 | svchost.exe(980) | Process | 1460 | 42 | |
| 4 | svchost.exe(980) | Process | 1464 | 42 | |
| 4 | \Device\Tcp | File | 1468 | 1180063 | |
| 4 | svchost.exe(980) | Process | 1472 | 42 | |
| 4 | svchost.exe(980) | Process | 1476 | 42 | |
| 4 | svchost.exe(980) | Process | 1480 | 42 | |
| 4 | svchost.exe(980) | Process | 1484 | 42 | |
| 4 | svchost.exe(980) | Process | 1488 | 42 | |
| 4 | svchost.exe(980) | Process | 1492 | 42 | |
| 4 | \Device\Tcp | File | 1500 | 1180063 | |
| 4 | \Device\Tcp | File | 1504 | 1180063 | |
| 4 | svchost.exe(980) | Process | 1508 | 42 | |
| 4 | \Device\Tcp | File | 1512 | 1180063 | |
| 4 | A\{A5822EFB-D32A-11E4-9FAB-080027E988D8}\DEFAULTOBJECTSTORE\OBJECTTABLE\2C1 | Key | 1520 | 983103 | |
| 4 | svchost.exe(980) | Process | 1524 | 42 | |
| 4 | Token | 1528 | 983551 | ||
| 4 | svchost.exe(980) | Process | 1532 | 42 | |
| 4 | svchost.exe(980) | Process | 1536 | 42 | |
| 4 | svchost.exe(980) | Process | 1540 | 42 | |
| 4 | Token | 1544 | 983551 | ||
| 4 | TID 228 PID 4 | Thread | 1548 | 2097151 | |
| 4 | Token | 1552 | 983551 | ||
| 4 | plugin-contain(1744) | Process | 1556 | 42 | |
| 4 | TID 1428 PID 4 | Thread | 1560 | 2097151 | |
| 4 | TID 516 PID 4 | Thread | 1564 | 2097151 | |
| 4 | firefox.exe(1016) | Process | 1568 | 42 | |
| 4 | svchost.exe(816) | Process | 1576 | 42 | |
| 4 | ALPC Port | 1580 | 2031617 | ||
| 4 | WmiPrvSE.exe(1948) | Process | 1592 | 42 | |
| 4 | Steam.exe(3064) | Process | 1596 | 40 | |
| 4 | python.exe(2152) | Process | 1604 | 42 | |
| 4 | svchost.exe(980) | Process | 1608 | 42 | |
| 4 | svchost.exe(980) | Process | 1612 | 42 | |
| 4 | svchost.exe(980) | Process | 1616 | 42 | |
| 4 | A\{A5822EFB-D32A-11E4-9FAB-080027E988D8}\DEFAULTOBJECTSTORE | Key | 1636 | 983103 | |
| 4 | steamwebhelper(3108) | Process | 1640 | 42 | |
| 4 | \Device\HarddiskVolume2\System Volume Information\Syscache.hve.LOG2 | File | 1648 | 33554435 | |
| 4 | steamwebhelper(3108) | Process | 1660 | 42 | |
| 4 | TmTm | 1664 | 983103 | ||
| 4 | TmRm | 1672 | 2031743 | ||
| 4 | TmRm | 1680 | 2031743 | ||
| 4 | steamwebhelper(2108) | Process | 1684 | 42 | |
| 4 | A\{A5822EFB-D32A-11E4-9FAB-080027E988D8} | Key | 1696 | 983103 | |
| 4 | \Device\HarddiskVolume2\System Volume Information\Syscache.hve.LOG1 | File | 1700 | 33554435 | |
| 4 | \Device\HarddiskVolume2\System Volume Information\Syscache.hve | File | 1708 | 33685507 | |
| 4 | svchost.exe(980) | Process | 1748 | 42 | |
| 4 | A\{A5822EFB-D32A-11E4-9FAB-080027E988D8}\DEFAULTOBJECTSTORE\INDEXTABLE | Key | 1752 | 983103 | |
| 4 | A\{A5822EFB-D32A-11E4-9FAB-080027E988D8}\DEFAULTOBJECTSTORE\INDEXTABLE\FILEIDINDEX-{7EEA3DB5-1E8B-11E4-9951-806E6F6E6963} | Key | 1756 | 983103 | |
| 4 | A\{A5822EFB-D32A-11E4-9FAB-080027E988D8}\DEFAULTOBJECTSTORE\OBJECTTABLE | Key | 1760 | 983103 | |
| 4 | A\{A5822EFB-D32A-11E4-9FAB-080027E988D8}\DEFAULTOBJECTSTORE\LRULIST | Key | 1764 | 983103 | |
| 4 | steamwebhelper(3108) | Process | 1772 | 42 | |
| 4 | Steam.exe(3064) | Process | 1780 | 42 | |
| 4 | Steam.exe(3064) | Process | 1784 | 42 | |
| 4 | Token | 1792 | 983551 | ||
| 4 | steamwebhelper(3896) | Process | 1916 | 42 | |
| 4 | Token | 1944 | 983551 | ||
| 4 | Token | 1948 | 983551 | ||
| 212 | \Device\HarddiskVolume2\Windows | File | 4 | 1048608 | |
| 212 | EtwRegistration | 8 | 2052 | ||
| 212 | \Device\NamedPipe\ProtectedPrefix | File | 12 | 2032127 | |
| 212 | \Device\Mailslot\ProtectedPrefix | File | 16 | 2032127 | |
| 212 | \Device\NamedPipe\ProtectedPrefix\Administrators | File | 20 | 2032127 | |
| 212 | \Device\Mailslot\ProtectedPrefix\Administrators | File | 24 | 2032127 | |
| 212 | \Device\NamedPipe\ProtectedPrefix\LocalService | File | 28 | 2032127 | |
| 212 | \Device\Mailslot\ProtectedPrefix\LocalService | File | 32 | 2032127 | |
| 212 | \Device\NamedPipe\ProtectedPrefix\NetWorkService | File | 36 | 2032127 | |
| 212 | \Device\Mailslot\ProtectedPrefix\NetWorkService | File | 40 | 2032127 | |
| 212 | IoCompletion | 44 | 2031619 | ||
| 212 | TpWorkerFactory | 48 | 983295 | ||
| 212 | SmApiPort | ALPC Port | 52 | 2031617 | |
| 212 | Event | 56 | 2031619 | ||
| 212 | Section | 60 | 6 | ||
| 212 | Sessions | Directory | 64 | 983055 | |
| 212 | GLOBAL?? | Directory | 68 | 983055 | |
| 212 | csrss.exe(288) | Process | 72 | 1053761 | |
| 212 | KeyedEvent | 76 | 983043 | ||
| 212 | Event | 80 | 2031619 | ||
| 212 | lsm.exe(440) | Process | 84 | 1053761 | |
| 212 | csrss.exe(336) | Process | 88 | 1053761 | |
| 212 | ALPC Port | 92 | 2031617 | ||
| 212 | ALPC Port | 96 | 2031617 | ||
| 212 | Event | 100 | 2031619 | ||
| 212 | Event | 104 | 2031619 | ||
| 212 | ALPC Port | 108 | 2031617 | ||
| 212 | ALPC Port | 112 | 2031617 | ||
| 212 | ALPC Port | 116 | 2031617 | ||
| 288 | KnownDlls | Directory | 4 | 3 | |
| 288 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 288 | EtwRegistration | 12 | 2052 | ||
| 288 | BNOLINKS | Directory | 16 | 983055 | |
| 288 | 0 | SymbolicLink | 20 | 983041 | |
| 288 | 0 | Directory | 24 | 983055 | |
| 288 | DosDevices | Directory | 28 | 983055 | |
| 288 | Windows | Directory | 32 | 983055 | |
| 288 | BaseNamedObjects | Directory | 36 | 983055 | |
| 288 | SharedSection | Section | 40 | 983071 | |
| 288 | Restricted | Directory | 44 | 983055 | |
| 288 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 48 | 131097 | |
| 288 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 52 | 1 | |
| 288 | \Device\HarddiskVolume2\Windows\System32\en-US\csrss.exe.mui | File | 56 | 1179785 | |
| 288 | Event | 60 | 2031619 | ||
| 288 | Event | 64 | 2031619 | ||
| 288 | Event | 68 | 2031619 | ||
| 288 | Event | 72 | 2031619 | ||
| 288 | Event | 76 | 2031619 | ||
| 288 | \Device\HarddiskVolume2\Windows\System32\en-US\winsrv.dll.mui | File | 80 | 1179785 | |
| 288 | ALPC Port | 84 | 2031617 | ||
| 288 | TID 300 PID 288 | Thread | 88 | 2097151 | |
| 288 | ALPC Port | 92 | 2031617 | ||
| 288 | TID 304 PID 288 | Thread | 96 | 2097151 | |
| 288 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SIDEBYSIDE | Key | 100 | 131097 | |
| 288 | wininit.exe(324) | Process | 104 | 2097151 | |
| 288 | ApiPort | ALPC Port | 108 | 2031617 | |
| 288 | TID 308 PID 288 | Thread | 112 | 2097151 | |
| 288 | SbApiPort | ALPC Port | 116 | 2031617 | |
| 288 | TID 312 PID 288 | Thread | 120 | 2097151 | |
| 288 | ALPC Port | 124 | 2031617 | ||
| 288 | Event | 128 | 35586051 | ||
| 288 | TID 328 PID 324 | Thread | 132 | 2097151 | |
| 288 | ALPC Port | 136 | 2031617 | ||
| 288 | TID 344 PID 288 | Thread | 140 | 2097151 | |
| 288 | TID 1348 PID 600 | Thread | 144 | 2097151 | |
| 288 | TID 352 PID 324 | Thread | 148 | 2097151 | |
| 288 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\PRIORITYCONTROL | Key | 152 | 131097 | |
| 288 | TID 396 PID 288 | Thread | 156 | 2097151 | |
| 288 | Event | 160 | 35586051 | ||
| 288 | TID 404 PID 288 | Thread | 164 | 2097151 | |
| 288 | Event | 168 | 35586051 | ||
| 288 | WinSta0_DesktopSwitch | Event | 172 | 2031619 | |
| 288 | WinSta0 | WindowStation | 176 | 983043 | |
| 288 | Event | 188 | 35586051 | ||
| 288 | services.exe(424) | Process | 192 | 2097151 | |
| 288 | TID 2268 PID 1112 | Thread | 196 | 2097151 | |
| 288 | EtwRegistration | 200 | 2052 | ||
| 288 | MACHINE | Key | 204 | 983103 | |
| 288 | lsass.exe(432) | Process | 208 | 2097151 | |
| 288 | Section | 212 | 983047 | ||
| 288 | \Device\KsecDD | File | 216 | 1048577 | |
| 288 | TID 548 PID 544 | Thread | 220 | 2097151 | |
| 288 | lsm.exe(440) | Process | 224 | 2097151 | |
| 288 | Section | 228 | 983047 | ||
| 288 | TID 444 PID 440 | Thread | 232 | 2097151 | |
| 288 | ALPC Port | 236 | 2031617 | ||
| 288 | Section | 240 | 983047 | ||
| 288 | TID 448 PID 288 | Thread | 244 | 2097151 | |
| 288 | Event | 248 | 35586051 | ||
| 288 | Section | 252 | 983047 | ||
| 288 | ALPC Port | 256 | 2031617 | ||
| 288 | TID 452 PID 432 | Thread | 260 | 2097151 | |
| 288 | ALPC Port | 264 | 2031617 | ||
| 288 | TID 456 PID 432 | Thread | 268 | 2097151 | |
| 288 | TID 464 PID 432 | Thread | 272 | 2097151 | |
| 288 | TID 3448 PID 424 | Thread | 280 | 2097151 | |
| 288 | svchost.exe(544) | Process | 284 | 2097151 | |
| 288 | TID 504 PID 424 | Thread | 288 | 2097151 | |
| 288 | TID 2744 PID 1948 | Thread | 300 | 2097151 | |
| 288 | TID 536 PID 432 | Thread | 324 | 2097151 | |
| 288 | WmiPrvSE.exe(1948) | Process | 328 | 2097151 | |
| 288 | ALPC Port | 332 | 2031617 | ||
| 288 | TID 580 PID 544 | Thread | 340 | 2097151 | |
| 288 | Section | 344 | 983047 | ||
| 288 | TID 976 PID 816 | Thread | 352 | 2097151 | |
| 288 | TID 576 PID 544 | Thread | 360 | 2097151 | |
| 288 | TID 584 PID 544 | Thread | 364 | 2097151 | |
| 288 | TID 588 PID 544 | Thread | 368 | 2097151 | |
| 288 | TID 592 PID 424 | Thread | 372 | 2097151 | |
| 288 | Event | 376 | 35586051 | ||
| 288 | VBoxService.ex(600) | Process | 380 | 2097151 | |
| 288 | TID 604 PID 600 | Thread | 384 | 2097151 | |
| 288 | ALPC Port | 388 | 2031617 | ||
| 288 | TID 616 PID 600 | Thread | 396 | 2097151 | |
| 288 | TID 624 PID 600 | Thread | 404 | 2097151 | |
| 288 | TID 628 PID 600 | Thread | 408 | 2097151 | |
| 288 | TID 632 PID 600 | Thread | 412 | 2097151 | |
| 288 | TID 636 PID 600 | Thread | 416 | 2097151 | |
| 288 | TID 640 PID 600 | Thread | 420 | 2097151 | |
| 288 | TID 644 PID 600 | Thread | 424 | 2097151 | |
| 288 | ALPC Port | 428 | 2031617 | ||
| 288 | svchost.exe(652) | Process | 432 | 2097151 | |
| 288 | TID 656 PID 652 | Thread | 436 | 2097151 | |
| 288 | TID 660 PID 544 | Thread | 440 | 2097151 | |
| 288 | TID 664 PID 544 | Thread | 444 | 2097151 | |
| 288 | TID 692 PID 652 | Thread | 452 | 2097151 | |
| 288 | TID 2176 PID 652 | Thread | 460 | 2097151 | |
| 288 | TID 2768 PID 544 | Thread | 464 | 2097151 | |
| 288 | TID 696 PID 652 | Thread | 468 | 2097151 | |
| 288 | svchost.exe(704) | Process | 476 | 2097151 | |
| 288 | TID 708 PID 704 | Thread | 480 | 2097151 | |
| 288 | ALPC Port | 484 | 2031617 | ||
| 288 | TID 712 PID 440 | Thread | 488 | 2097151 | |
| 288 | TID 720 PID 440 | Thread | 492 | 2097151 | |
| 288 | TID 724 PID 440 | Thread | 496 | 2097151 | |
| 288 | TID 892 PID 704 | Thread | 504 | 2097151 | |
| 288 | TID 736 PID 440 | Thread | 508 | 2097151 | |
| 288 | TID 2296 PID 1152 | Thread | 512 | 2097151 | |
| 288 | TID 752 PID 704 | Thread | 516 | 2097151 | |
| 288 | TID 756 PID 704 | Thread | 520 | 2097151 | |
| 288 | TID 748 PID 440 | Thread | 524 | 2097151 | |
| 288 | TID 760 PID 440 | Thread | 528 | 2097151 | |
| 288 | TID 2224 PID 1900 | Thread | 532 | 2097151 | |
| 288 | svchost.exe(788) | Process | 544 | 2097151 | |
| 288 | TID 792 PID 788 | Thread | 548 | 2097151 | |
| 288 | ALPC Port | 552 | 2031617 | ||
| 288 | TID 3032 PID 704 | Thread | 556 | 2097151 | |
| 288 | TID 804 PID 788 | Thread | 560 | 2097151 | |
| 288 | TID 864 PID 788 | Thread | 564 | 2097151 | |
| 288 | svchost.exe(816) | Process | 572 | 2097151 | |
| 288 | TID 820 PID 816 | Thread | 576 | 2097151 | |
| 288 | ALPC Port | 580 | 2031617 | ||
| 288 | TID 836 PID 816 | Thread | 588 | 2097151 | |
| 288 | TID 2336 PID 980 | Thread | 592 | 2097151 | |
| 288 | TID 1512 PID 704 | Thread | 596 | 2097151 | |
| 288 | TID 1620 PID 704 | Thread | 600 | 2097151 | |
| 288 | TID 1288 PID 704 | Thread | 604 | 2097151 | |
| 288 | TID 868 PID 788 | Thread | 608 | 2097151 | |
| 288 | TID 3160 PID 600 | Thread | 612 | 2097151 | |
| 288 | TID 2256 PID 1948 | Thread | 616 | 2097151 | |
| 288 | TID 880 PID 788 | Thread | 620 | 2097151 | |
| 288 | audiodg.exe(904) | Process | 628 | 2097151 | |
| 288 | ALPC Port | 632 | 2031617 | ||
| 288 | TID 908 PID 904 | Thread | 636 | 2097151 | |
| 288 | Section | 640 | 983047 | ||
| 288 | TID 940 PID 704 | Thread | 644 | 2097151 | |
| 288 | Section | 648 | 983047 | ||
| 288 | TID 948 PID 704 | Thread | 652 | 2097151 | |
| 288 | TID 2352 PID 1948 | Thread | 656 | 2097151 | |
| 288 | TID 968 PID 816 | Thread | 660 | 2097151 | |
| 288 | TID 964 PID 816 | Thread | 664 | 2097151 | |
| 288 | svchost.exe(980) | Process | 668 | 2097151 | |
| 288 | TID 984 PID 980 | Thread | 672 | 2097151 | |
| 288 | TID 1540 PID 1948 | Thread | 676 | 2097151 | |
| 288 | ALPC Port | 680 | 2031617 | ||
| 288 | TID 4016 PID 816 | Thread | 684 | 2097151 | |
| 288 | TID 1060 PID 816 | Thread | 688 | 2097151 | |
| 288 | Section | 692 | 983047 | ||
| 288 | TID 1036 PID 704 | Thread | 700 | 2097151 | |
| 288 | TID 1012 PID 980 | Thread | 704 | 2097151 | |
| 288 | TID 1024 PID 788 | Thread | 708 | 2097151 | |
| 288 | TID 1040 PID 704 | Thread | 716 | 2097151 | |
| 288 | TID 1052 PID 816 | Thread | 720 | 2097151 | |
| 288 | TID 1048 PID 816 | Thread | 724 | 2097151 | |
| 288 | TID 1056 PID 816 | Thread | 728 | 2097151 | |
| 288 | TID 1088 PID 816 | Thread | 732 | 2097151 | |
| 288 | TID 1080 PID 816 | Thread | 740 | 2097151 | |
| 288 | TID 1132 PID 980 | Thread | 744 | 2097151 | |
| 288 | svchost.exe(1112) | Process | 748 | 2097151 | |
| 288 | TID 1116 PID 1112 | Thread | 752 | 2097151 | |
| 288 | ALPC Port | 756 | 2031617 | ||
| 288 | TID 3320 PID 1948 | Thread | 764 | 2097151 | |
| 288 | Section | 768 | 983047 | ||
| 288 | svchost.exe(1152) | Process | 772 | 2097151 | |
| 288 | Section | 776 | 983047 | ||
| 288 | TID 1144 PID 1112 | Thread | 780 | 2097151 | |
| 288 | TID 1148 PID 1112 | Thread | 784 | 2097151 | |
| 288 | ALPC Port | 788 | 2031617 | ||
| 288 | TID 1156 PID 1152 | Thread | 792 | 2097151 | |
| 288 | Section | 796 | 983047 | ||
| 288 | Section | 800 | 983047 | ||
| 288 | TID 1164 PID 1152 | Thread | 804 | 2097151 | |
| 288 | TID 1196 PID 1152 | Thread | 808 | 2097151 | |
| 288 | TID 1168 PID 1152 | Thread | 812 | 2097151 | |
| 288 | TID 468 PID 816 | Thread | 816 | 2097151 | |
| 288 | TID 1200 PID 1152 | Thread | 832 | 2097151 | |
| 288 | TID 3104 PID 904 | Thread | 836 | 2097151 | |
| 288 | Section | 840 | 983047 | ||
| 288 | TID 2864 PID 704 | Thread | 848 | 2097151 | |
| 288 | TID 1272 PID 1112 | Thread | 852 | 2097151 | |
| 288 | TID 2668 PID 704 | Thread | 864 | 2097151 | |
| 288 | Section | 868 | 983047 | ||
| 288 | TID 1264 PID 788 | Thread | 880 | 2097151 | |
| 288 | TID 1284 PID 816 | Thread | 884 | 2097151 | |
| 288 | Section | 888 | 983047 | ||
| 288 | Section | 892 | 983047 | ||
| 288 | TID 2300 PID 440 | Thread | 896 | 2097151 | |
| 288 | TID 784 PID 816 | Thread | 900 | 2097151 | |
| 288 | TID 2660 PID 904 | Thread | 908 | 2097151 | |
| 288 | TID 2920 PID 704 | Thread | 912 | 2097151 | |
| 288 | TID 1316 PID 816 | Thread | 916 | 2097151 | |
| 288 | TID 492 PID 704 | Thread | 920 | 2097151 | |
| 288 | TID 2316 PID 816 | Thread | 928 | 2097151 | |
| 288 | TID 2320 PID 788 | Thread | 932 | 2097151 | |
| 288 | Section | 936 | 983047 | ||
| 288 | ALPC Port | 940 | 2031617 | ||
| 288 | TID 884 PID 600 | Thread | 944 | 2097151 | |
| 288 | Section | 952 | 983047 | ||
| 288 | TID 1876 PID 980 | Thread | 956 | 2097151 | |
| 288 | TID 1904 PID 1900 | Thread | 960 | 2097151 | |
| 288 | TID 1924 PID 1900 | Thread | 964 | 2097151 | |
| 288 | ALPC Port | 968 | 2031617 | ||
| 288 | svchost.exe(1900) | Process | 972 | 2097151 | |
| 288 | TID 2968 PID 1948 | Thread | 976 | 2097151 | |
| 288 | TID 1388 PID 816 | Thread | 980 | 2097151 | |
| 288 | TID 608 PID 788 | Thread | 984 | 2097151 | |
| 288 | TID 1576 PID 980 | Thread | 996 | 2097151 | |
| 288 | TID 1572 PID 980 | Thread | 1000 | 2097151 | |
| 288 | TID 136 PID 424 | Thread | 1004 | 2097151 | |
| 288 | TID 1584 PID 1152 | Thread | 1008 | 2097151 | |
| 288 | TID 1588 PID 980 | Thread | 1012 | 2097151 | |
| 288 | Section | 1016 | 983047 | ||
| 288 | TID 1724 PID 432 | Thread | 1020 | 2097151 | |
| 288 | TID 2700 PID 544 | Thread | 1032 | 2097151 | |
| 288 | TID 1944 PID 1900 | Thread | 1040 | 2097151 | |
| 288 | TID 1916 PID 1900 | Thread | 1044 | 2097151 | |
| 288 | TID 1928 PID 1900 | Thread | 1048 | 2097151 | |
| 288 | TID 1932 PID 1900 | Thread | 1052 | 2097151 | |
| 288 | TID 1936 PID 1900 | Thread | 1056 | 2097151 | |
| 288 | TID 3044 PID 652 | Thread | 1060 | 2097151 | |
| 288 | TID 1188 PID 816 | Thread | 1064 | 2097151 | |
| 288 | TID 1952 PID 704 | Thread | 1068 | 2097151 | |
| 288 | TID 1044 PID 788 | Thread | 1084 | 2097151 | |
| 288 | TID 3796 PID 980 | Thread | 1092 | 2097151 | |
| 288 | TID 2872 PID 980 | Thread | 1096 | 2097151 | |
| 288 | Section | 1116 | 983047 | ||
| 288 | TID 1192 PID 816 | Thread | 1120 | 2097151 | |
| 288 | TID 2656 PID 980 | Thread | 1124 | 2097151 | |
| 288 | TID 176 PID 1152 | Thread | 1128 | 2097151 | |
| 288 | TID 2884 PID 980 | Thread | 1132 | 2097151 | |
| 288 | TID 168 PID 816 | Thread | 1140 | 2097151 | |
| 288 | TID 1896 PID 980 | Thread | 1148 | 2097151 | |
| 288 | TID 2868 PID 980 | Thread | 1160 | 2097151 | |
| 288 | TID 1436 PID 980 | Thread | 1172 | 2097151 | |
| 288 | TID 848 PID 440 | Thread | 1176 | 2097151 | |
| 288 | TID 2964 PID 1948 | Thread | 1180 | 2097151 | |
| 288 | TID 2416 PID 424 | Thread | 1192 | 2097151 | |
| 288 | Section | 1200 | 983047 | ||
| 288 | TID 1312 PID 816 | Thread | 1204 | 2097151 | |
| 288 | TID 2628 PID 652 | Thread | 1208 | 2097151 | |
| 288 | TID 2572 PID 816 | Thread | 1216 | 2097151 | |
| 288 | TID 1140 PID 904 | Thread | 1220 | 2097151 | |
| 288 | TID 1840 PID 1900 | Thread | 1228 | 2097151 | |
| 288 | TID 1440 PID 788 | Thread | 1232 | 2097151 | |
| 324 | KnownDlls | Directory | 4 | 3 | |
| 324 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 324 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 324 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 324 | ALPC Port | 20 | 2031617 | ||
| 324 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 324 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 28 | 1 | |
| 324 | EtwRegistration | 32 | 2052 | ||
| 324 | Event | 36 | 35586051 | ||
| 324 | Event | 40 | 2031619 | ||
| 324 | MACHINE | Key | 44 | 983103 | |
| 324 | EtwRegistration | 48 | 2052 | ||
| 324 | EtwRegistration | 52 | 2052 | ||
| 324 | EtwRegistration | 56 | 2052 | ||
| 324 | BaseNamedObjects | Directory | 60 | 15 | |
| 324 | FirstWinlogonCheck | Event | 64 | 2031619 | |
| 324 | Event | 68 | 2031619 | ||
| 324 | Event | 72 | 2031619 | ||
| 324 | Event | 76 | 2031619 | ||
| 324 | EtwRegistration | 80 | 2052 | ||
| 324 | EtwRegistration | 84 | 2052 | ||
| 324 | Event | 88 | 2031619 | ||
| 324 | TID 328 PID 324 | Thread | 92 | 2097151 | |
| 324 | WMsgKRpc0454A0 | ALPC Port | 96 | 2031617 | |
| 324 | KeyedEvent | 100 | 983043 | ||
| 324 | IoCompletion | 104 | 2031619 | ||
| 324 | TpWorkerFactory | 108 | 983295 | ||
| 324 | ALPC Port | 120 | 2031617 | ||
| 324 | Event | 124 | 2031619 | ||
| 324 | TID 352 PID 324 | Thread | 128 | 2097151 | |
| 324 | WinSta0 | WindowStation | 132 | 983935 | |
| 324 | Winlogon | Desktop | 136 | 983551 | |
| 324 | \Device\HarddiskVolume2\Windows\System32\en-US\user32.dll.mui | File | 140 | 1179785 | |
| 324 | Event | 144 | 2031619 | ||
| 324 | USER\.DEFAULT\CONTROL PANEL\INTERNATIONAL | Key | 148 | 131097 | |
| 324 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 152 | 131097 | |
| 324 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 156 | 131097 | |
| 324 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 160 | 131097 | |
| 324 | WinSta0 | WindowStation | 164 | 983935 | |
| 324 | Disconnect | Desktop | 168 | 983551 | |
| 324 | Default | Desktop | 172 | 983551 | |
| 324 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA | Key | 176 | 131097 | |
| 324 | UMSServicesStarted | Event | 180 | 2031619 | |
| 324 | Timer | 184 | 1048578 | ||
| 324 | Timer | 188 | 2031619 | ||
| 324 | TID 416 PID 324 | Thread | 192 | 2097151 | |
| 324 | TID 416 PID 324 | Thread | 196 | 2097151 | |
| 324 | KeyedEvent | 200 | 983043 | ||
| 324 | Timer | 204 | 1048578 | ||
| 324 | \Device\NamedPipe\InitShutdown | File | 208 | 1180063 | |
| 324 | \Device\NamedPipe\InitShutdown | File | 212 | 1180063 | |
| 324 | \Device\NamedPipe\InitShutdown | File | 216 | 1180063 | |
| 324 | WindowsShutdown | ALPC Port | 220 | 2031617 | |
| 324 | services.exe(424) | Process | 228 | 2097151 | |
| 324 | lsass.exe(432) | Process | 236 | 2097151 | |
| 324 | USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 240 | 8 | |
| 324 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 244 | 8 | |
| 324 | lsm.exe(440) | Process | 248 | 2097151 | |
| 324 | \Device\KsecDD | File | 260 | 1048577 | |
| 324 | ALPC Port | 268 | 2031617 | ||
| 324 | Event | 272 | 1048579 | ||
| 324 | Event | 276 | 2031619 | ||
| 324 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 296 | 983103 | |
| 324 | Event | 300 | 2031619 | ||
| 324 | Event | 304 | 2031619 | ||
| 324 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 308 | 983103 | |
| 324 | \Device\Afd\Endpoint | File | 316 | 1442207 | |
| 324 | \Device\Afd\Endpoint | File | 320 | 1442207 | |
| 324 | \Device\NamedPipe\Winsock2\CatalogChangeListener-144-0 | File | 324 | 1441929 | |
| 324 | Semaphore | 328 | 1048579 | ||
| 324 | Semaphore | 332 | 1048579 | ||
| 324 | ALPC Port | 336 | 2031617 | ||
| 324 | \Device\Afd\Endpoint | File | 356 | 1442207 | |
| 324 | \Device\Afd\Endpoint | File | 360 | 1442207 | |
| 324 | Mutant | 364 | 2031617 | ||
| 324 | Event | 368 | 2031619 | ||
| 336 | KnownDlls | Directory | 4 | 3 | |
| 336 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 336 | EtwRegistration | 12 | 2052 | ||
| 336 | BNOLINKS | Directory | 16 | 983055 | |
| 336 | 1 | SymbolicLink | 20 | 983041 | |
| 336 | 1 | Directory | 24 | 983055 | |
| 336 | DosDevices | Directory | 28 | 983055 | |
| 336 | Windows | Directory | 32 | 983055 | |
| 336 | BaseNamedObjects | Directory | 36 | 983055 | |
| 336 | SharedSection | Section | 40 | 983071 | |
| 336 | Global | SymbolicLink | 44 | 983041 | |
| 336 | Local | SymbolicLink | 48 | 983041 | |
| 336 | Session | SymbolicLink | 52 | 983041 | |
| 336 | Restricted | Directory | 56 | 983055 | |
| 336 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 60 | 131097 | |
| 336 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 64 | 1 | |
| 336 | ALPC Port | 68 | 2031617 | ||
| 336 | Event | 72 | 2031619 | ||
| 336 | Event | 76 | 2031619 | ||
| 336 | Event | 80 | 2031619 | ||
| 336 | Event | 84 | 2031619 | ||
| 336 | Event | 88 | 2031619 | ||
| 336 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\CONTROL PANEL\INTERNATIONAL | Key | 92 | 131097 | |
| 336 | ALPC Port | 96 | 2031617 | ||
| 336 | TID 360 PID 336 | Thread | 100 | 2097151 | |
| 336 | ALPC Port | 104 | 2031617 | ||
| 336 | TID 364 PID 336 | Thread | 108 | 2097151 | |
| 336 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SIDEBYSIDE | Key | 112 | 131097 | |
| 336 | winlogon.exe(376) | Process | 116 | 2097151 | |
| 336 | ApiPort | ALPC Port | 120 | 2031617 | |
| 336 | TID 368 PID 336 | Thread | 124 | 2097151 | |
| 336 | SbApiPort | ALPC Port | 128 | 2031617 | |
| 336 | TID 372 PID 336 | Thread | 132 | 2097151 | |
| 336 | ALPC Port | 136 | 2031617 | ||
| 336 | Event | 140 | 35586051 | ||
| 336 | TID 380 PID 376 | Thread | 144 | 2097151 | |
| 336 | ALPC Port | 148 | 2031617 | ||
| 336 | TID 384 PID 336 | Thread | 152 | 2097151 | |
| 336 | Section | 156 | 983047 | ||
| 336 | TID 3164 PID 3108 | Thread | 160 | 2097151 | |
| 336 | ScNetDrvMsg | Event | 164 | 2031619 | |
| 336 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\PRIORITYCONTROL | Key | 168 | 131097 | |
| 336 | TID 400 PID 336 | Thread | 172 | 2097151 | |
| 336 | Event | 176 | 35586051 | ||
| 336 | TID 408 PID 336 | Thread | 180 | 2097151 | |
| 336 | Event | 184 | 35586051 | ||
| 336 | WinSta0_DesktopSwitch | Event | 188 | 2031619 | |
| 336 | \Device\0000003f | File | 192 | 1048577 | |
| 336 | \Device\00000033 | File | 196 | 1048577 | |
| 336 | \Device\0000003d | File | 200 | 1048577 | |
| 336 | \Device\00000032 | File | 204 | 1048577 | |
| 336 | Event | 208 | 35586051 | ||
| 336 | WinSta0 | WindowStation | 212 | 983043 | |
| 336 | Event | 216 | 35586051 | ||
| 336 | TID 1812 PID 1460 | Thread | 220 | 2097151 | |
| 336 | Event | 224 | 35586051 | ||
| 336 | Section | 228 | 983047 | ||
| 336 | EtwRegistration | 232 | 2052 | ||
| 336 | MACHINE | Key | 236 | 983103 | |
| 336 | TID 1824 PID 1460 | Thread | 240 | 2097151 | |
| 336 | taskhost.exe(1492) | Process | 244 | 2097151 | |
| 336 | \Device\KsecDD | File | 248 | 1048577 | |
| 336 | TID 856 PID 376 | Thread | 252 | 2097151 | |
| 336 | TID 1872 PID 1460 | Thread | 256 | 2097151 | |
| 336 | Section | 260 | 983047 | ||
| 336 | Section | 264 | 983047 | ||
| 336 | Section | 268 | 983047 | ||
| 336 | TID 1836 PID 1460 | Thread | 272 | 2097151 | |
| 336 | Section | 276 | 983047 | ||
| 336 | TID 1880 PID 1460 | Thread | 280 | 2097151 | |
| 336 | Section | 284 | 983047 | ||
| 336 | TID 1832 PID 1460 | Thread | 288 | 2097151 | |
| 336 | Section | 292 | 983047 | ||
| 336 | TID 264 PID 1460 | Thread | 296 | 2097151 | |
| 336 | Section | 300 | 983047 | ||
| 336 | Section | 304 | 983047 | ||
| 336 | Section | 308 | 983047 | ||
| 336 | Section | 312 | 983047 | ||
| 336 | TID 3068 PID 3064 | Thread | 316 | 2097151 | |
| 336 | \Device\HarddiskVolume2\Windows\System32\en-US\winsrv.dll.mui | File | 320 | 1179785 | |
| 336 | TID 2128 PID 2108 | Thread | 324 | 2097151 | |
| 336 | TID 1496 PID 1492 | Thread | 328 | 2097151 | |
| 336 | TID 1520 PID 1492 | Thread | 332 | 2097151 | |
| 336 | TID 1568 PID 1016 | Thread | 336 | 2097151 | |
| 336 | Section | 340 | 983047 | ||
| 336 | TID 1772 PID 1016 | Thread | 344 | 2097151 | |
| 336 | TID 1504 PID 1492 | Thread | 348 | 2097151 | |
| 336 | Section | 352 | 983047 | ||
| 336 | TID 1360 PID 1016 | Thread | 356 | 2097151 | |
| 336 | dwm.exe(1448) | Process | 360 | 2097151 | |
| 336 | Section | 364 | 983047 | ||
| 336 | TID 1452 PID 1448 | Thread | 368 | 2097151 | |
| 336 | ALPC Port | 372 | 2031617 | ||
| 336 | TID 1456 PID 1448 | Thread | 376 | 2097151 | |
| 336 | explorer.exe(1460) | Process | 380 | 2097151 | |
| 336 | TID 1464 PID 1460 | Thread | 384 | 2097151 | |
| 336 | ALPC Port | 388 | 2031617 | ||
| 336 | TID 1600 PID 1460 | Thread | 392 | 2097151 | |
| 336 | TID 3216 PID 3108 | Thread | 396 | 2097151 | |
| 336 | Section | 400 | 983047 | ||
| 336 | TID 2240 PID 3108 | Thread | 404 | 2097151 | |
| 336 | Section | 408 | 983047 | ||
| 336 | TID 172 PID 3108 | Thread | 412 | 2097151 | |
| 336 | Section | 416 | 983047 | ||
| 336 | steamwebhelper(3896) | Process | 420 | 2097151 | |
| 336 | TID 1548 PID 1460 | Thread | 424 | 2097151 | |
| 336 | TID 1552 PID 1460 | Thread | 428 | 2097151 | |
| 336 | ALPC Port | 432 | 2031617 | ||
| 336 | TID 3504 PID 3064 | Thread | 440 | 2097151 | |
| 336 | TID 1592 PID 1492 | Thread | 444 | 2097151 | |
| 336 | TID 1764 PID 1460 | Thread | 448 | 2097151 | |
| 336 | Section | 452 | 983047 | ||
| 336 | Section | 456 | 983047 | ||
| 336 | TID 520 PID 3108 | Thread | 460 | 2097151 | |
| 336 | TID 3228 PID 3108 | Thread | 464 | 2097151 | |
| 336 | Section | 468 | 983047 | ||
| 336 | steamwebhelper(2108) | Process | 472 | 2097151 | |
| 336 | TID 1636 PID 1460 | Thread | 476 | 2097151 | |
| 336 | Everything.exe(1640) | Process | 480 | 2097151 | |
| 336 | TID 1644 PID 1640 | Thread | 484 | 2097151 | |
| 336 | VBoxTray.exe(1648) | Process | 488 | 2097151 | |
| 336 | TID 1652 PID 1648 | Thread | 492 | 2097151 | |
| 336 | TID 2132 PID 2108 | Thread | 496 | 2097151 | |
| 336 | Section | 500 | 983047 | ||
| 336 | ALPC Port | 504 | 2031617 | ||
| 336 | Section | 508 | 983047 | ||
| 336 | TID 1716 PID 336 | Thread | 512 | 2097151 | |
| 336 | TID 1660 PID 1492 | Thread | 516 | 2097151 | |
| 336 | TID 1676 PID 1648 | Thread | 520 | 2097151 | |
| 336 | TID 2220 PID 1492 | Thread | 524 | 2097151 | |
| 336 | TID 1680 PID 1648 | Thread | 528 | 2097151 | |
| 336 | TID 1684 PID 1648 | Thread | 532 | 2097151 | |
| 336 | TID 1688 PID 1648 | Thread | 536 | 2097151 | |
| 336 | TID 1692 PID 1648 | Thread | 540 | 2097151 | |
| 336 | TID 1696 PID 1648 | Thread | 544 | 2097151 | |
| 336 | TID 1844 PID 1460 | Thread | 548 | 2097151 | |
| 336 | TID 1788 PID 1768 | Thread | 552 | 2097151 | |
| 336 | python.exe(1704) | Process | 556 | 2097151 | |
| 336 | TID 1708 PID 1704 | Thread | 560 | 2097151 | |
| 336 | ALPC Port | 564 | 2031617 | ||
| 336 | conhost.exe(1768) | Process | 568 | 2097151 | |
| 336 | TID 1720 PID 1460 | Thread | 572 | 2097151 | |
| 336 | Section | 576 | 983047 | ||
| 336 | TID 1780 PID 1768 | Thread | 580 | 2097151 | |
| 336 | Section | 584 | 983047 | ||
| 336 | conhost.exe(1768) | Process | 588 | 2097151 | |
| 336 | ALPC Port | 592 | 2031617 | ||
| 336 | Event | 596 | 35586051 | ||
| 336 | TID 1776 PID 1460 | Thread | 600 | 2097151 | |
| 336 | TID 3596 PID 3064 | Thread | 604 | 2097151 | |
| 336 | ALPC Port | 608 | 2031617 | ||
| 336 | Section | 616 | 983047 | ||
| 336 | Section | 620 | 983047 | ||
| 336 | Section | 624 | 983047 | ||
| 336 | TID 3092 PID 3064 | Thread | 628 | 2097151 | |
| 336 | Section | 632 | 983047 | ||
| 336 | Section | 636 | 983047 | ||
| 336 | Section | 640 | 983047 | ||
| 336 | TID 1756 PID 1016 | Thread | 644 | 2097151 | |
| 336 | Section | 648 | 983047 | ||
| 336 | Section | 652 | 983047 | ||
| 336 | Section | 656 | 983047 | ||
| 336 | ALPC Port | 660 | 2031617 | ||
| 336 | Section | 664 | 983047 | ||
| 336 | Section | 668 | 983047 | ||
| 336 | firefox.exe(1016) | Process | 672 | 2097151 | |
| 336 | TID 1020 PID 1016 | Thread | 676 | 2097151 | |
| 336 | TID 3264 PID 3108 | Thread | 680 | 2097151 | |
| 336 | TID 1096 PID 1016 | Thread | 684 | 2097151 | |
| 336 | TID 3096 PID 1016 | Thread | 688 | 2097151 | |
| 336 | Section | 692 | 983047 | ||
| 336 | TID 3992 PID 3896 | Thread | 696 | 2097151 | |
| 336 | Section | 700 | 983047 | ||
| 336 | TID 1184 PID 1016 | Thread | 704 | 2097151 | |
| 336 | TID 1224 PID 1016 | Thread | 708 | 2097151 | |
| 336 | TID 3548 PID 3064 | Thread | 712 | 2097151 | |
| 336 | TID 1104 PID 1016 | Thread | 716 | 2097151 | |
| 336 | TID 1220 PID 1016 | Thread | 720 | 2097151 | |
| 336 | TID 1100 PID 1016 | Thread | 724 | 2097151 | |
| 336 | TID 1180 PID 1016 | Thread | 728 | 2097151 | |
| 336 | TID 1260 PID 1016 | Thread | 732 | 2097151 | |
| 336 | TID 1268 PID 1016 | Thread | 736 | 2097151 | |
| 336 | TID 1276 PID 1016 | Thread | 740 | 2097151 | |
| 336 | TID 572 PID 1016 | Thread | 744 | 2097151 | |
| 336 | TID 1300 PID 1016 | Thread | 748 | 2097151 | |
| 336 | TID 1380 PID 1016 | Thread | 752 | 2097151 | |
| 336 | TID 3212 PID 3064 | Thread | 756 | 2097151 | |
| 336 | TID 924 PID 1016 | Thread | 760 | 2097151 | |
| 336 | TID 1404 PID 1016 | Thread | 768 | 2097151 | |
| 336 | TID 1804 PID 1016 | Thread | 772 | 2097151 | |
| 336 | TID 1068 PID 1016 | Thread | 776 | 2097151 | |
| 336 | TID 776 PID 1016 | Thread | 780 | 2097151 | |
| 336 | TID 1532 PID 1016 | Thread | 784 | 2097151 | |
| 336 | TID 1364 PID 1016 | Thread | 788 | 2097151 | |
| 336 | TID 1368 PID 1016 | Thread | 792 | 2097151 | |
| 336 | TID 1356 PID 1016 | Thread | 796 | 2097151 | |
| 336 | TID 1980 PID 1744 | Thread | 800 | 2097151 | |
| 336 | TID 1752 PID 1016 | Thread | 804 | 2097151 | |
| 336 | plugin-contain(1744) | Process | 808 | 2097151 | |
| 336 | TID 1736 PID 1744 | Thread | 812 | 2097151 | |
| 336 | ALPC Port | 816 | 2031617 | ||
| 336 | TID 1852 PID 1744 | Thread | 820 | 2097151 | |
| 336 | TID 1712 PID 1016 | Thread | 824 | 2097151 | |
| 336 | Section | 828 | 983047 | ||
| 336 | TID 1860 PID 1016 | Thread | 832 | 2097151 | |
| 336 | Section | 836 | 983047 | ||
| 336 | TID 1856 PID 1744 | Thread | 840 | 2097151 | |
| 336 | TID 1976 PID 1744 | Thread | 844 | 2097151 | |
| 336 | TID 2004 PID 1744 | Thread | 848 | 2097151 | |
| 336 | TID 1996 PID 1744 | Thread | 852 | 2097151 | |
| 336 | TID 2000 PID 1744 | Thread | 856 | 2097151 | |
| 336 | TID 3788 PID 3064 | Thread | 860 | 2097151 | |
| 336 | TID 1972 PID 1744 | Thread | 864 | 2097151 | |
| 336 | TID 1960 PID 1744 | Thread | 868 | 2097151 | |
| 336 | TID 3152 PID 3064 | Thread | 872 | 2097151 | |
| 336 | TID 3388 PID 1016 | Thread | 876 | 2097151 | |
| 336 | TID 320 PID 1016 | Thread | 880 | 2097151 | |
| 336 | TID 2032 PID 1016 | Thread | 884 | 2097151 | |
| 336 | TID 3888 PID 3064 | Thread | 888 | 2097151 | |
| 336 | TID 2028 PID 2108 | Thread | 892 | 2097151 | |
| 336 | TID 100 PID 1744 | Thread | 896 | 2097151 | |
| 336 | TID 240 PID 1648 | Thread | 900 | 2097151 | |
| 336 | TID 3172 PID 3108 | Thread | 904 | 2097151 | |
| 336 | TID 280 PID 1016 | Thread | 908 | 2097151 | |
| 336 | TID 284 PID 1016 | Thread | 912 | 2097151 | |
| 336 | TID 1528 PID 1016 | Thread | 916 | 2097151 | |
| 336 | TID 268 PID 1744 | Thread | 920 | 2097151 | |
| 336 | TID 1992 PID 1744 | Thread | 924 | 2097151 | |
| 336 | TID 960 PID 1744 | Thread | 928 | 2097151 | |
| 336 | TID 3224 PID 3064 | Thread | 932 | 2097151 | |
| 336 | TID 1004 PID 1016 | Thread | 936 | 2097151 | |
| 336 | TID 1524 PID 1016 | Thread | 940 | 2097151 | |
| 336 | Section | 944 | 983047 | ||
| 336 | TID 780 PID 1016 | Thread | 948 | 2097151 | |
| 336 | Section | 952 | 983047 | ||
| 336 | TID 1984 PID 1016 | Thread | 956 | 2097151 | |
| 336 | Steam.exe(3064) | Process | 960 | 2097151 | |
| 336 | TID 1820 PID 1016 | Thread | 964 | 2097151 | |
| 336 | TID 1092 PID 1016 | Thread | 968 | 2097151 | |
| 336 | TID 3620 PID 3064 | Thread | 972 | 2097151 | |
| 336 | TID 3116 PID 3064 | Thread | 976 | 2097151 | |
| 336 | Section | 980 | 983047 | ||
| 336 | TID 3128 PID 3064 | Thread | 984 | 2097151 | |
| 336 | TID 1444 PID 1016 | Thread | 988 | 2097151 | |
| 336 | TID 1480 PID 1016 | Thread | 992 | 2097151 | |
| 336 | TID 1760 PID 1016 | Thread | 996 | 2097151 | |
| 336 | Section | 1000 | 983047 | ||
| 336 | steamwebhelper(3108) | Process | 1004 | 2097151 | |
| 336 | TID 388 PID 1016 | Thread | 1008 | 2097151 | |
| 336 | TID 3420 PID 3064 | Thread | 1012 | 2097151 | |
| 336 | TID 1432 PID 1016 | Thread | 1020 | 2097151 | |
| 336 | TID 1340 PID 1744 | Thread | 1024 | 2097151 | |
| 336 | TID 1352 PID 1744 | Thread | 1028 | 2097151 | |
| 336 | TID 3900 PID 3896 | Thread | 1032 | 2097151 | |
| 336 | TID 2408 PID 1016 | Thread | 1036 | 2097151 | |
| 336 | TID 3236 PID 3064 | Thread | 1040 | 2097151 | |
| 336 | Section | 1044 | 983047 | ||
| 336 | TID 2044 PID 2108 | Thread | 1048 | 2097151 | |
| 336 | ALPC Port | 1056 | 2031617 | ||
| 336 | Section | 1060 | 983047 | ||
| 336 | TID 1064 PID 2108 | Thread | 1064 | 2097151 | |
| 336 | TID 2344 PID 3108 | Thread | 1068 | 2097151 | |
| 336 | TID 3148 PID 1016 | Thread | 1072 | 2097151 | |
| 336 | Section | 1076 | 983047 | ||
| 336 | Section | 1080 | 983047 | ||
| 336 | Section | 1084 | 983047 | ||
| 336 | ALPC Port | 1088 | 2031617 | ||
| 336 | TID 3464 PID 3064 | Thread | 1096 | 2097151 | |
| 336 | TID 3208 PID 3108 | Thread | 1100 | 2097151 | |
| 336 | ALPC Port | 1104 | 2031617 | ||
| 336 | TID 3120 PID 3108 | Thread | 1108 | 2097151 | |
| 336 | TID 3632 PID 3064 | Thread | 1112 | 2097151 | |
| 336 | TID 3592 PID 3064 | Thread | 1116 | 2097151 | |
| 336 | TID 4044 PID 1460 | Thread | 1120 | 2097151 | |
| 336 | python.exe(2152) | Process | 1124 | 2097151 | |
| 336 | TID 2684 PID 1016 | Thread | 1128 | 2097151 | |
| 336 | TID 3112 PID 3108 | Thread | 1132 | 2097151 | |
| 336 | TID 3608 PID 3064 | Thread | 1136 | 2097151 | |
| 336 | TID 3060 PID 1460 | Thread | 1140 | 2097151 | |
| 336 | TID 3972 PID 3896 | Thread | 1144 | 2097151 | |
| 336 | TID 3976 PID 3896 | Thread | 1148 | 2097151 | |
| 336 | TID 3256 PID 3108 | Thread | 1152 | 2097151 | |
| 336 | TID 3308 PID 3108 | Thread | 1156 | 2097151 | |
| 336 | TID 3252 PID 3064 | Thread | 1164 | 2097151 | |
| 336 | TID 2804 PID 3064 | Thread | 1168 | 2097151 | |
| 336 | TID 3240 PID 3108 | Thread | 1172 | 2097151 | |
| 336 | TID 3348 PID 3064 | Thread | 1176 | 2097151 | |
| 336 | TID 3384 PID 3064 | Thread | 1180 | 2097151 | |
| 336 | TID 3272 PID 3108 | Thread | 1184 | 2097151 | |
| 336 | TID 3280 PID 3108 | Thread | 1188 | 2097151 | |
| 336 | TID 3352 PID 3064 | Thread | 1192 | 2097151 | |
| 336 | TID 3260 PID 3108 | Thread | 1196 | 2097151 | |
| 336 | TID 3508 PID 3064 | Thread | 1200 | 2097151 | |
| 336 | TID 3440 PID 3064 | Thread | 1204 | 2097151 | |
| 336 | Section | 1208 | 983047 | ||
| 336 | TID 3180 PID 3108 | Thread | 1212 | 2097151 | |
| 336 | TID 3304 PID 3108 | Thread | 1216 | 2097151 | |
| 336 | TID 3324 PID 3064 | Thread | 1220 | 2097151 | |
| 336 | TID 3984 PID 3896 | Thread | 1224 | 2097151 | |
| 336 | TID 3732 PID 3108 | Thread | 1228 | 2097151 | |
| 336 | TID 2252 PID 3108 | Thread | 1232 | 2097151 | |
| 336 | TID 2284 PID 2108 | Thread | 1236 | 2097151 | |
| 336 | TID 2580 PID 2152 | Thread | 1244 | 2097151 | |
| 336 | TID 2480 PID 2152 | Thread | 1248 | 2097151 | |
| 336 | ALPC Port | 1252 | 2031617 | ||
| 336 | TID 2200 PID 2152 | Thread | 1256 | 2097151 | |
| 336 | TID 1580 PID 2152 | Thread | 1260 | 2097151 | |
| 336 | TID 2536 PID 2152 | Thread | 1264 | 2097151 | |
| 336 | Section | 1276 | 983047 | ||
| 336 | TID 2540 PID 2152 | Thread | 1284 | 2097151 | |
| 336 | TID 3028 PID 1648 | Thread | 1288 | 2097151 | |
| 336 | Section | 1300 | 983047 | ||
| 336 | TID 1628 PID 1016 | Thread | 1324 | 2097151 | |
| 336 | TID 3428 PID 1492 | Thread | 1332 | 2097151 | |
| 336 | Section | 1352 | 983047 | ||
| 336 | TID 3244 PID 1640 | Thread | 1356 | 2097151 | |
| 336 | TID 3424 PID 1648 | Thread | 1364 | 2097151 | |
| 376 | KnownDlls | Directory | 4 | 3 | |
| 376 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 376 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 376 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 376 | ALPC Port | 20 | 2031617 | ||
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 28 | 1 | |
| 376 | EtwRegistration | 32 | 2052 | ||
| 376 | Event | 36 | 35586051 | ||
| 376 | TermSrvReadyEvent | Event | 40 | 1048576 | |
| 376 | MACHINE | Key | 44 | 983103 | |
| 376 | EtwRegistration | 48 | 2052 | ||
| 376 | EtwRegistration | 52 | 2052 | ||
| 376 | EtwRegistration | 56 | 2052 | ||
| 376 | MACHINE\SOFTWARE\CLASSES | Key | 60 | 983103 | |
| 376 | BaseNamedObjects | Directory | 64 | 15 | |
| 376 | Mutant | 68 | 2031617 | ||
| 376 | Event | 72 | 2031619 | ||
| 376 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON | Key | 76 | 131097 | |
| 376 | EtwRegistration | 80 | 2052 | ||
| 376 | Event | 84 | 2031619 | ||
| 376 | Event | 88 | 2031619 | ||
| 376 | Event | 92 | 2031619 | ||
| 376 | EtwRegistration | 96 | 2052 | ||
| 376 | EtwRegistration | 100 | 2052 | ||
| 376 | Event | 104 | 2031619 | ||
| 376 | TID 380 PID 376 | Thread | 108 | 2097151 | |
| 376 | WMsgKRpc048191 | ALPC Port | 112 | 2031617 | |
| 376 | KeyedEvent | 116 | 983043 | ||
| 376 | IoCompletion | 120 | 2031619 | ||
| 376 | TpWorkerFactory | 124 | 983295 | ||
| 376 | ALPC Port | 136 | 2031617 | ||
| 376 | WinSta0 | WindowStation | 148 | 983935 | |
| 376 | Winlogon | Desktop | 152 | 983551 | |
| 376 | \Device\HarddiskVolume2\Windows\System32\en-US\user32.dll.mui | File | 156 | 1179785 | |
| 376 | Event | 160 | 2031619 | ||
| 376 | USER\.DEFAULT\CONTROL PANEL\INTERNATIONAL | Key | 164 | 131097 | |
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 168 | 131097 | |
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 172 | 131097 | |
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 176 | 131097 | |
| 376 | WinSta0 | WindowStation | 180 | 983935 | |
| 376 | Disconnect | Desktop | 184 | 983551 | |
| 376 | Default | Desktop | 188 | 983551 | |
| 376 | Timer | 196 | 1048578 | ||
| 376 | Timer | 200 | 2031619 | ||
| 376 | TID 732 PID 376 | Thread | 204 | 2097151 | |
| 376 | TID 732 PID 376 | Thread | 208 | 2097151 | |
| 376 | Timer | 212 | 1048578 | ||
| 376 | Token | 220 | 11 | ||
| 376 | Token | 224 | 47 | ||
| 376 | Event | 228 | 2031619 | ||
| 376 | TID 856 PID 376 | Thread | 232 | 2097151 | |
| 376 | Event | 236 | 2031619 | ||
| 376 | ALPC Port | 244 | 2031617 | ||
| 376 | ALPC Port | 248 | 2031617 | ||
| 376 | USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 252 | 8 | |
| 376 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 256 | 8 | |
| 376 | EtwRegistration | 260 | 2052 | ||
| 376 | Event | 264 | 2031619 | ||
| 376 | Event | 268 | 2031619 | ||
| 376 | Event | 272 | 2031619 | ||
| 376 | Event | 276 | 2031619 | ||
| 376 | Event | 280 | 2031619 | ||
| 376 | Event | 288 | 1048579 | ||
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\WINLOGON\NOTIFICATIONS\COMPONENTS\GPCLIENT | Key | 292 | 1 | |
| 376 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 300 | 983103 | |
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\WINLOGON\NOTIFICATIONS\COMPONENTS\PROFILES | Key | 304 | 1 | |
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\WINLOGON\NOTIFICATIONS\COMPONENTS\SENS | Key | 308 | 1 | |
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\WINLOGON\NOTIFICATIONS\COMPONENTS\TERMSRV | Key | 312 | 1 | |
| 376 | ALPC Port | 316 | 2031617 | ||
| 376 | ALPC Port | 320 | 2031617 | ||
| 376 | ALPC Port | 324 | 2031617 | ||
| 376 | EtwRegistration | 328 | 2052 | ||
| 376 | EtwRegistration | 332 | 2052 | ||
| 376 | USER | Key | 336 | 983103 | |
| 376 | ALPC Port | 340 | 2031617 | ||
| 376 | EtwRegistration | 348 | 2052 | ||
| 376 | Semaphore | 352 | 1048579 | ||
| 376 | \Device\KsecDD | File | 356 | 1048577 | |
| 376 | Event | 360 | 2031619 | ||
| 376 | Event | 364 | 2031619 | ||
| 376 | Event | 368 | 2031619 | ||
| 376 | Event | 372 | 2031619 | ||
| 376 | Event | 376 | 2031619 | ||
| 376 | Event | 380 | 2031619 | ||
| 376 | Mutant | 384 | 2031617 | ||
| 376 | ThemesStartEvent | Event | 388 | 2031619 | |
| 376 | Semaphore | 392 | 1048579 | ||
| 376 | ALPC Port | 396 | 2031617 | ||
| 376 | Semaphore | 400 | 1048579 | ||
| 376 | Semaphore | 404 | 1048579 | ||
| 376 | ALPC Port | 408 | 2031617 | ||
| 376 | Token | 412 | 983551 | ||
| 376 | KeyedEvent | 416 | 983043 | ||
| 376 | Token | 420 | 14 | ||
| 376 | Token | 424 | 14 | ||
| 376 | BaseNamedObjects | Directory | 428 | 15 | |
| 376 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM | Key | 432 | 131097 | |
| 376 | Token | 436 | 14 | ||
| 376 | ALPC Port | 440 | 2031617 | ||
| 376 | 000000000000d7f3_WlballoonKerberosNotificationEventName | Event | 444 | 2031619 | |
| 376 | ALPC Port | 448 | 2031617 | ||
| 376 | ShellDesktopSwitchEvent | Event | 452 | 2031619 | |
| 376 | Event | 456 | 2031619 | ||
| 376 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NETWORKPROVIDER\HWORDER | Key | 460 | 131097 | |
| 376 | Semaphore | 464 | 1048579 | ||
| 376 | Semaphore | 468 | 1048579 | ||
| 376 | 000000000000d7f3_WlballoonSmartCardUnlockNotificationEventName | Event | 472 | 2031619 | |
| 376 | 000000000000d7f3_WlballoonAlternateCredsNotificationEventName | Event | 480 | 2031619 | |
| 424 | KnownDlls | Directory | 4 | 3 | |
| 424 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 424 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 424 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 424 | ALPC Port | 20 | 2031617 | ||
| 424 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 424 | Semaphore | 28 | 1048579 | ||
| 424 | Semaphore | 32 | 1048579 | ||
| 424 | EtwRegistration | 36 | 2052 | ||
| 424 | MACHINE | Key | 40 | 983103 | |
| 424 | EtwRegistration | 44 | 2052 | ||
| 424 | Token | 48 | 42 | ||
| 424 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 52 | 1 | |
| 424 | EtwRegistration | 56 | 2052 | ||
| 424 | Service-0x0-3e7$ | WindowStation | 64 | 983935 | |
| 424 | Default | Desktop | 68 | 983551 | |
| 424 | Service-0x0-3e7$ | WindowStation | 72 | 983935 | |
| 424 | \Device\HarddiskVolume2\Windows\System32\en-US\services.exe.mui | File | 76 | 1179785 | |
| 424 | Event | 80 | 2031619 | ||
| 424 | USER\.DEFAULT\CONTROL PANEL\INTERNATIONAL | Key | 84 | 131097 | |
| 424 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 88 | 131097 | |
| 424 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 92 | 131097 | |
| 424 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 96 | 131097 | |
| 424 | Semaphore | 100 | 1048579 | ||
| 424 | Semaphore | 104 | 1048579 | ||
| 424 | Semaphore | 108 | 1048579 | ||
| 424 | Semaphore | 112 | 1048579 | ||
| 424 | BaseNamedObjects | Directory | 116 | 15 | |
| 424 | SC_AutoStartComplete | Event | 120 | 2031619 | |
| 424 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NETWORKPROVIDER\ORDER | Key | 124 | 983103 | |
| 424 | Event | 128 | 2031619 | ||
| 424 | SvcctrlStartEvent_A3752DX | Event | 132 | 2031619 | |
| 424 | Semaphore | 136 | 1048579 | ||
| 424 | Semaphore | 140 | 1048579 | ||
| 424 | Semaphore | 144 | 1048579 | ||
| 424 | Semaphore | 148 | 1048579 | ||
| 424 | Semaphore | 152 | 1048579 | ||
| 424 | Semaphore | 156 | 1048579 | ||
| 424 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SERVICEGROUPORDER | Key | 160 | 131097 | |
| 424 | MACHINE\SYSTEM\CONTROLSET001\SERVICES | Key | 164 | 131101 | |
| 424 | Event | 168 | 2031619 | ||
| 424 | Event | 172 | 2031619 | ||
| 424 | Event | 176 | 2031619 | ||
| 424 | EtwRegistration | 180 | 2052 | ||
| 424 | EtwRegistration | 184 | 2052 | ||
| 424 | KeyedEvent | 200 | 983043 | ||
| 424 | IoCompletion | 204 | 2031619 | ||
| 424 | TpWorkerFactory | 208 | 983295 | ||
| 424 | Timer | 212 | 1048578 | ||
| 424 | Timer | 216 | 2031619 | ||
| 424 | TID 480 PID 424 | Thread | 220 | 2097151 | |
| 424 | TID 480 PID 424 | Thread | 224 | 2097151 | |
| 424 | Timer | 228 | 1048578 | ||
| 424 | Event | 232 | 2031619 | ||
| 424 | Event | 236 | 2031619 | ||
| 424 | ntsvcs | ALPC Port | 240 | 2031617 | |
| 424 | \Device\NamedPipe\ntsvcs | File | 244 | 1180063 | |
| 424 | \Device\NamedPipe\ntsvcs | File | 248 | 1180063 | |
| 424 | \Device\NamedPipe\ntsvcs | File | 252 | 1180063 | |
| 424 | \Device\KsecDD | File | 256 | 1048577 | |
| 424 | LRPC-b5f726de58d8eabc24 | ALPC Port | 260 | 2031617 | |
| 424 | ALPC Port | 264 | 2031617 | ||
| 424 | Event | 268 | 1048579 | ||
| 424 | \Device\NamedPipe\scerpc | File | 272 | 1180063 | |
| 424 | \Device\NamedPipe\scerpc | File | 276 | 1180063 | |
| 424 | \Device\NamedPipe\scerpc | File | 280 | 1180063 | |
| 424 | Semaphore | 296 | 1048579 | ||
| 424 | Semaphore | 300 | 1048579 | ||
| 424 | IoCompletion | 304 | 2031619 | ||
| 424 | TpWorkerFactory | 308 | 983295 | ||
| 424 | Timer | 312 | 2031619 | ||
| 424 | Mutant | 316 | 2031617 | ||
| 424 | Event | 320 | 2031619 | ||
| 424 | EtwRegistration | 324 | 2052 | ||
| 424 | Event | 328 | 2031619 | ||
| 424 | Event | 332 | 2031619 | ||
| 424 | Event | 336 | 2031619 | ||
| 424 | TID 504 PID 424 | Thread | 340 | 2097151 | |
| 424 | ubpmrpc | ALPC Port | 344 | 2031617 | |
| 424 | EtwRegistration | 348 | 2052 | ||
| 424 | ALPC Port | 352 | 2031617 | ||
| 424 | ALPC Port | 368 | 2031617 | ||
| 424 | TID 136 PID 424 | Thread | 400 | 2097151 | |
| 424 | Event | 408 | 2031619 | ||
| 424 | Token | 432 | 983551 | ||
| 424 | USER | Key | 436 | 983103 | |
| 424 | ALPC Port | 440 | 2031617 | ||
| 424 | svchost.exe(544) | Process | 444 | 2097151 | |
| 424 | ALPC Port | 448 | 2031617 | ||
| 424 | Event | 452 | 2031619 | ||
| 424 | TpWorkerFactory | 456 | 983295 | ||
| 424 | IoCompletion | 460 | 2031619 | ||
| 424 | Token | 464 | 983551 | ||
| 424 | VBoxService.ex(600) | Process | 468 | 2097151 | |
| 424 | ALPC Port | 472 | 2031617 | ||
| 424 | Event | 476 | 2031619 | ||
| 424 | USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 480 | 8 | |
| 424 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 484 | 8 | |
| 424 | USER\S-1-5-20 | Key | 488 | 131103 | |
| 424 | ALPC Port | 492 | 2031617 | ||
| 424 | svchost.exe(652) | Process | 496 | 2097151 | |
| 424 | ALPC Port | 500 | 2031617 | ||
| 424 | Event | 504 | 2031619 | ||
| 424 | ALPC Port | 508 | 2031617 | ||
| 424 | Token | 516 | 983551 | ||
| 424 | USER\S-1-5-19 | Key | 520 | 131103 | |
| 424 | Token | 524 | 983551 | ||
| 424 | svchost.exe(704) | Process | 528 | 2097151 | |
| 424 | ALPC Port | 532 | 2031617 | ||
| 424 | Event | 536 | 2031619 | ||
| 424 | Token | 540 | 983551 | ||
| 424 | svchost.exe(788) | Process | 544 | 2097151 | |
| 424 | ALPC Port | 548 | 2031617 | ||
| 424 | Event | 552 | 2031619 | ||
| 424 | ALPC Port | 556 | 2031617 | ||
| 424 | svchost.exe(816) | Process | 560 | 2097151 | |
| 424 | ALPC Port | 564 | 2031617 | ||
| 424 | Event | 568 | 2031619 | ||
| 424 | Token | 576 | 983551 | ||
| 424 | USER\S-1-5-19 | Key | 580 | 131103 | |
| 424 | Timer | 584 | 1048578 | ||
| 424 | svchost.exe(980) | Process | 588 | 2097151 | |
| 424 | ALPC Port | 592 | 2031617 | ||
| 424 | Event | 596 | 2031619 | ||
| 424 | ALPC Port | 600 | 2031617 | ||
| 424 | Token | 604 | 983551 | ||
| 424 | Token | 608 | 983551 | ||
| 424 | Token | 612 | 983551 | ||
| 424 | USER\S-1-5-19 | Key | 616 | 131103 | |
| 424 | svchost.exe(1112) | Process | 620 | 2097151 | |
| 424 | Timer | 624 | 1048578 | ||
| 424 | Event | 628 | 2031619 | ||
| 424 | EtwRegistration | 632 | 2052 | ||
| 424 | TermSrvReadyEvent | Event | 636 | 1048576 | |
| 424 | ALPC Port | 644 | 2031617 | ||
| 424 | USER\S-1-5-20 | Key | 648 | 131103 | |
| 424 | svchost.exe(1152) | Process | 656 | 2097151 | |
| 424 | ALPC Port | 660 | 2031617 | ||
| 424 | Event | 664 | 2031619 | ||
| 424 | Event | 688 | 2031619 | ||
| 424 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 692 | 983103 | |
| 424 | Event | 696 | 2031619 | ||
| 424 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 700 | 983103 | |
| 424 | \Device\Afd\Endpoint | File | 708 | 1442207 | |
| 424 | \Device\Afd\Endpoint | File | 712 | 1442207 | |
| 424 | \Device\NamedPipe\Winsock2\CatalogChangeListener-1a8-0 | File | 716 | 1441929 | |
| 424 | EtwConsumer | 720 | 1024 | ||
| 424 | \Device\Afd\Endpoint | File | 740 | 1442207 | |
| 424 | \Device\Afd\Endpoint | File | 744 | 1442207 | |
| 424 | ALPC Port | 756 | 2031617 | ||
| 424 | Event | 760 | 2031619 | ||
| 424 | ALPC Port | 780 | 2031617 | ||
| 424 | taskhost.exe(1492) | Process | 788 | 2097151 | |
| 424 | ALPC Port | 796 | 2031617 | ||
| 424 | svchost.exe(1900) | Process | 800 | 2097151 | |
| 424 | ALPC Port | 804 | 2031617 | ||
| 424 | USER\S-1-5-19 | Key | 808 | 131103 | |
| 424 | ALPC Port | 812 | 2031617 | ||
| 424 | Token | 816 | 983551 | ||
| 424 | Event | 820 | 2031619 | ||
| 432 | KnownDlls | Directory | 4 | 3 | |
| 432 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 432 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 432 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 432 | ALPC Port | 20 | 2031617 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 432 | SeLsaCommandPort | ALPC Port | 28 | 2031617 | |
| 432 | ALPC Port | 32 | 2031617 | ||
| 432 | ALPC Port | 36 | 2031617 | ||
| 432 | MACHINE | Key | 40 | 983103 | |
| 432 | lsapolicylookup | ALPC Port | 44 | 2031617 | |
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 48 | 1 | |
| 432 | Semaphore | 52 | 1048579 | ||
| 432 | Event | 56 | 1048579 | ||
| 432 | Semaphore | 60 | 1048579 | ||
| 432 | Mutant | 64 | 2031617 | ||
| 432 | Event | 68 | 2031619 | ||
| 432 | EtwRegistration | 72 | 2052 | ||
| 432 | Semaphore | 76 | 1048579 | ||
| 432 | Service-0x0-3e7$ | WindowStation | 80 | 983406 | |
| 432 | Default | Desktop | 84 | 983247 | |
| 432 | Service-0x0-3e7$ | WindowStation | 88 | 983406 | |
| 432 | EtwRegistration | 92 | 2052 | ||
| 432 | BaseNamedObjects | Directory | 96 | 15 | |
| 432 | Debug.Memory.v2.1b0 | Section | 100 | 983047 | |
| 432 | Semaphore | 104 | 1048579 | ||
| 432 | Semaphore | 108 | 1048579 | ||
| 432 | Token | 112 | 42 | ||
| 432 | Event | 116 | 2031619 | ||
| 432 | Event | 120 | 2031619 | ||
| 432 | Event | 124 | 2031619 | ||
| 432 | EtwRegistration | 128 | 2052 | ||
| 432 | EtwRegistration | 132 | 2052 | ||
| 432 | ALPC Port | 136 | 2031617 | ||
| 432 | Token | 140 | 983551 | ||
| 432 | LsaPerformance | Section | 144 | 983047 | |
| 432 | Semaphore | 148 | 1048579 | ||
| 432 | Semaphore | 152 | 1048579 | ||
| 432 | Semaphore | 156 | 1048579 | ||
| 432 | Semaphore | 160 | 1048579 | ||
| 432 | Event | 164 | 2031619 | ||
| 432 | \Device\KsecDD | File | 168 | 1048579 | |
| 432 | Semaphore | 172 | 1048579 | ||
| 432 | Semaphore | 176 | 1048579 | ||
| 432 | SECURITY_SERVICES_STARTED | Event | 180 | 2031619 | |
| 432 | Semaphore | 184 | 1048579 | ||
| 432 | Semaphore | 188 | 1048579 | ||
| 432 | Event | 192 | 2031619 | ||
| 432 | Timer | 196 | 2031619 | ||
| 432 | TID 460 PID 432 | Thread | 200 | 2097151 | |
| 432 | TID 460 PID 432 | Thread | 204 | 2097151 | |
| 432 | KeyedEvent | 208 | 983043 | ||
| 432 | IoCompletion | 212 | 2031619 | ||
| 432 | TpWorkerFactory | 216 | 983295 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA | Key | 220 | 131097 | |
| 432 | Event | 224 | 2031619 | ||
| 432 | IoCompletion | 228 | 2031619 | ||
| 432 | TpWorkerFactory | 232 | 983295 | ||
| 432 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM | Key | 236 | 131097 | |
| 432 | Event | 240 | 2031619 | ||
| 432 | \Device\HarddiskVolume2\Windows\System32\en-US\lsasrv.dll.mui | File | 244 | 1179785 | |
| 432 | Semaphore | 248 | 1048579 | ||
| 432 | Semaphore | 252 | 1048579 | ||
| 432 | Semaphore | 256 | 1048579 | ||
| 432 | Semaphore | 260 | 1048579 | ||
| 432 | Semaphore | 264 | 1048579 | ||
| 432 | Semaphore | 268 | 1048579 | ||
| 432 | Event | 272 | 2031619 | ||
| 432 | Semaphore | 276 | 1048579 | ||
| 432 | Semaphore | 280 | 1048579 | ||
| 432 | MACHINE\SECURITY | Key | 284 | 393245 | |
| 432 | MACHINE\SECURITY\RXACT | Key | 288 | 196639 | |
| 432 | MACHINE\SECURITY\POLICY | Key | 292 | 131103 | |
| 432 | Semaphore | 296 | 1048579 | ||
| 432 | Semaphore | 300 | 1048579 | ||
| 432 | Semaphore | 304 | 1048579 | ||
| 432 | Semaphore | 308 | 1048579 | ||
| 432 | Semaphore | 312 | 1048579 | ||
| 432 | Semaphore | 316 | 1048579 | ||
| 432 | Semaphore | 320 | 1048579 | ||
| 432 | Semaphore | 324 | 1048579 | ||
| 432 | KeyedEvent | 328 | 983043 | ||
| 432 | Timer | 332 | 1048578 | ||
| 432 | Timer | 336 | 1048578 | ||
| 432 | Event | 340 | 2031619 | ||
| 432 | Semaphore | 344 | 1048579 | ||
| 432 | Semaphore | 348 | 1048579 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\AUDIT | Key | 352 | 17 | |
| 432 | Semaphore | 356 | 1048579 | ||
| 432 | Semaphore | 360 | 1048579 | ||
| 432 | Semaphore | 364 | 1048579 | ||
| 432 | Semaphore | 368 | 1048579 | ||
| 432 | Semaphore | 372 | 1048579 | ||
| 432 | Semaphore | 376 | 1048579 | ||
| 432 | Token | 380 | 983551 | ||
| 432 | Semaphore | 384 | 1048579 | ||
| 432 | Semaphore | 388 | 1048579 | ||
| 432 | Semaphore | 392 | 1048579 | ||
| 432 | Semaphore | 396 | 1048579 | ||
| 432 | Semaphore | 400 | 1048579 | ||
| 432 | Semaphore | 404 | 1048579 | ||
| 432 | Event | 408 | 2031619 | ||
| 432 | USER\.DEFAULT\CONTROL PANEL\INTERNATIONAL | Key | 412 | 131097 | |
| 432 | EtwRegistration | 416 | 2052 | ||
| 432 | Semaphore | 420 | 1048579 | ||
| 432 | Semaphore | 424 | 1048579 | ||
| 432 | Semaphore | 428 | 1048579 | ||
| 432 | Semaphore | 432 | 1048579 | ||
| 432 | \Device\KsecDD | File | 436 | 1048577 | |
| 432 | EtwRegistration | 440 | 2052 | ||
| 432 | EtwRegistration | 444 | 2052 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\KERBEROS\PARAMETERS | Key | 448 | 983103 | |
| 432 | DSYSDBG.Debug.Trace.Memory.1b0 | Event | 452 | 1048578 | |
| 432 | Debug.Trace.Memory.1b0 | Section | 456 | 983047 | |
| 432 | Event | 460 | 2031619 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\KERBEROS\PARAMETERS | Key | 464 | 131097 | |
| 432 | Semaphore | 468 | 1048579 | ||
| 432 | Semaphore | 472 | 1048579 | ||
| 432 | Semaphore | 476 | 1048579 | ||
| 432 | Semaphore | 480 | 1048579 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\KERBEROS\HOSTTOREALM | Key | 484 | 131097 | |
| 432 | Event | 488 | 2031619 | ||
| 432 | Event | 492 | 1048579 | ||
| 432 | Semaphore | 496 | 1048579 | ||
| 432 | Semaphore | 500 | 1048579 | ||
| 432 | Semaphore | 504 | 1048579 | ||
| 432 | Semaphore | 508 | 1048579 | ||
| 432 | Semaphore | 512 | 1048579 | ||
| 432 | Semaphore | 516 | 1048579 | ||
| 432 | Semaphore | 520 | 1048579 | ||
| 432 | Semaphore | 524 | 1048579 | ||
| 432 | Event | 528 | 1048579 | ||
| 432 | Event | 532 | 1048579 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\KERBEROS\DOMAINS | Key | 536 | 131097 | |
| 432 | Event | 540 | 2031619 | ||
| 432 | Event | 544 | 2031619 | ||
| 432 | EtwRegistration | 548 | 2052 | ||
| 432 | Semaphore | 552 | 1048579 | ||
| 432 | Semaphore | 556 | 1048579 | ||
| 432 | ALPC Port | 560 | 2031617 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 564 | 983103 | |
| 432 | Event | 568 | 2031619 | ||
| 432 | Event | 572 | 2031619 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 576 | 983103 | |
| 432 | ALPC Port | 580 | 2031617 | ||
| 432 | EtwRegistration | 584 | 2052 | ||
| 432 | EtwRegistration | 588 | 2052 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\MSV1_0 | Key | 592 | 983103 | |
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA | Key | 596 | 131097 | |
| 432 | Event | 600 | 2031619 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\MSV1_0 | Key | 604 | 131097 | |
| 432 | Semaphore | 608 | 1048579 | ||
| 432 | Semaphore | 612 | 1048579 | ||
| 432 | Semaphore | 616 | 1048579 | ||
| 432 | Semaphore | 620 | 1048579 | ||
| 432 | Semaphore | 624 | 1048579 | ||
| 432 | Semaphore | 628 | 1048579 | ||
| 432 | Semaphore | 632 | 1048579 | ||
| 432 | Semaphore | 636 | 1048579 | ||
| 432 | Semaphore | 640 | 1048579 | ||
| 432 | Semaphore | 644 | 1048579 | ||
| 432 | Semaphore | 648 | 1048579 | ||
| 432 | Semaphore | 652 | 1048579 | ||
| 432 | Semaphore | 656 | 1048579 | ||
| 432 | Semaphore | 660 | 1048579 | ||
| 432 | Semaphore | 664 | 1048579 | ||
| 432 | Semaphore | 668 | 1048579 | ||
| 432 | Semaphore | 672 | 1048579 | ||
| 432 | Semaphore | 676 | 1048579 | ||
| 432 | Event | 680 | 2031619 | ||
| 432 | \Device\HarddiskVolume2\Windows\debug\PASSWD.LOG | File | 684 | 1180054 | |
| 432 | Semaphore | 688 | 1048579 | ||
| 432 | Semaphore | 692 | 1048579 | ||
| 432 | Semaphore | 696 | 1048579 | ||
| 432 | Semaphore | 700 | 1048579 | ||
| 432 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON | Key | 704 | 131097 | |
| 432 | Event | 708 | 2031619 | ||
| 432 | EtwRegistration | 712 | 2052 | ||
| 432 | EtwRegistration | 716 | 2052 | ||
| 432 | Event | 720 | 2031619 | ||
| 432 | EtwRegistration | 724 | 2052 | ||
| 432 | Event | 728 | 2031619 | ||
| 432 | Event | 732 | 2031619 | ||
| 432 | Semaphore | 736 | 1048579 | ||
| 432 | Semaphore | 740 | 1048579 | ||
| 432 | Semaphore | 744 | 1048579 | ||
| 432 | Semaphore | 748 | 1048579 | ||
| 432 | EtwRegistration | 752 | 2052 | ||
| 432 | Semaphore | 756 | 1048579 | ||
| 432 | Semaphore | 760 | 1048579 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SECURITYPROVIDERS\SCHANNEL | Key | 764 | 983103 | |
| 432 | EtwRegistration | 768 | 2052 | ||
| 432 | Event | 772 | 2031619 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SECURITYPROVIDERS\WDIGEST | Key | 776 | 983103 | |
| 432 | Semaphore | 780 | 1048579 | ||
| 432 | Event | 784 | 2031619 | ||
| 432 | Semaphore | 788 | 1048579 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SECURITYPROVIDERS\WDIGEST | Key | 792 | 131097 | |
| 432 | Semaphore | 796 | 1048579 | ||
| 432 | Event | 800 | 2031619 | ||
| 432 | Semaphore | 804 | 1048579 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\CREDSSP | Key | 808 | 131097 | |
| 432 | Event | 812 | 2031619 | ||
| 432 | EtwRegistration | 816 | 2052 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\CREDSSP | Key | 820 | 983103 | |
| 432 | Semaphore | 824 | 1048579 | ||
| 432 | Event | 828 | 2031619 | ||
| 432 | Semaphore | 832 | 1048579 | ||
| 432 | EtwRegistration | 836 | 2052 | ||
| 432 | Semaphore | 840 | 1048579 | ||
| 432 | Semaphore | 844 | 1048579 | ||
| 432 | Semaphore | 848 | 1048579 | ||
| 432 | Semaphore | 852 | 1048579 | ||
| 432 | Semaphore | 856 | 1048579 | ||
| 432 | Semaphore | 860 | 1048579 | ||
| 432 | \Device\KsecDD | File | 864 | 1048577 | |
| 432 | \Device\NamedPipe\lsass | File | 868 | 1180063 | |
| 432 | Semaphore | 872 | 1048579 | ||
| 432 | \Device\NamedPipe\lsass | File | 876 | 1180063 | |
| 432 | LRPC-b0997644c57c930e08 | ALPC Port | 880 | 2031617 | |
| 432 | audit | ALPC Port | 884 | 2031617 | |
| 432 | securityevent | ALPC Port | 888 | 2031617 | |
| 432 | LSARPC_ENDPOINT | ALPC Port | 892 | 2031617 | |
| 432 | Semaphore | 896 | 1048579 | ||
| 432 | Semaphore | 900 | 1048579 | ||
| 432 | Semaphore | 904 | 1048579 | ||
| 432 | Semaphore | 908 | 1048579 | ||
| 432 | MACHINE\SOFTWARE\MICROSOFT\IDENTITYSTORE\CACHE | Key | 912 | 131097 | |
| 432 | EtwRegistration | 916 | 2052 | ||
| 432 | lsasspirpc | ALPC Port | 920 | 2031617 | |
| 432 | \Device\KsecDD | File | 924 | 1180063 | |
| 432 | Semaphore | 928 | 1048579 | ||
| 432 | Steam.exe(3064) | Process | 932 | 5240 | |
| 432 | ALPC Port | 936 | 2031617 | ||
| 432 | Event | 940 | 2031619 | ||
| 432 | LSA_RPC_SERVER_ACTIVE | Event | 944 | 2031619 | |
| 432 | Semaphore | 948 | 1048579 | ||
| 432 | Semaphore | 952 | 1048579 | ||
| 432 | lsass.exe(432) | Process | 956 | 5240 | |
| 432 | MACHINE\SOFTWARE\MICROSOFT\CRYPTOGRAPHY\PROTECT\PROVIDERS\DF9D8CD0-1501-11D1-8C7A-00C04FC297EB | Key | 960 | 17 | |
| 432 | Semaphore | 964 | 1048579 | ||
| 432 | ALPC Port | 968 | 2031617 | ||
| 432 | protected_storage | ALPC Port | 972 | 2031617 | |
| 432 | Event | 976 | 2031619 | ||
| 432 | Semaphore | 980 | 1048579 | ||
| 432 | Semaphore | 984 | 1048579 | ||
| 432 | services.exe(424) | Process | 988 | 5240 | |
| 432 | \Device\NamedPipe\protected_storage | File | 992 | 1180063 | |
| 432 | \Device\NamedPipe\protected_storage | File | 996 | 1180063 | |
| 432 | \Device\NamedPipe\protected_storage | File | 1000 | 1180063 | |
| 432 | Event | 1004 | 2031619 | ||
| 432 | ALPC Port | 1008 | 2031617 | ||
| 432 | ALPC Port | 1012 | 2031617 | ||
| 432 | Event | 1016 | 2031619 | ||
| 432 | lsass.exe(432) | Process | 1020 | 5240 | |
| 432 | Semaphore | 1024 | 1048579 | ||
| 432 | Semaphore | 1028 | 1048579 | ||
| 432 | lsass.exe(432) | Process | 1032 | 5240 | |
| 432 | Semaphore | 1036 | 1048579 | ||
| 432 | Event | 1040 | 2031619 | ||
| 432 | LSA_RPC_SERVER_ACTIVE | Event | 1044 | 2031619 | |
| 432 | Semaphore | 1048 | 1048579 | ||
| 432 | Semaphore | 1052 | 1048579 | ||
| 432 | Semaphore | 1056 | 1048579 | ||
| 432 | Semaphore | 1060 | 1048579 | ||
| 432 | Semaphore | 1064 | 1048579 | ||
| 432 | Semaphore | 1068 | 1048579 | ||
| 432 | Semaphore | 1072 | 1048579 | ||
| 432 | Semaphore | 1076 | 1048579 | ||
| 432 | Semaphore | 1080 | 1048579 | ||
| 432 | Event | 1084 | 2031619 | ||
| 432 | Event | 1088 | 2031619 | ||
| 432 | Semaphore | 1092 | 1048579 | ||
| 432 | Semaphore | 1096 | 1048579 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\AUDIT\PERUSERAUDITING\SYSTEM | Key | 1100 | 3 | |
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\AUDIT\AUDITPOLICY | Key | 1104 | 3 | |
| 432 | ALPC Port | 1108 | 2031617 | ||
| 432 | Semaphore | 1112 | 1048579 | ||
| 432 | EtwRegistration | 1116 | 2052 | ||
| 432 | MACHINE\SAM\SAM | Key | 1120 | 131103 | |
| 432 | MACHINE\SAM\SAM\RXACT | Key | 1124 | 196639 | |
| 432 | MACHINE\SAM\SAM\DOMAINS\BUILTIN | Key | 1128 | 131103 | |
| 432 | MACHINE\SAM\SAM\DOMAINS\ACCOUNT | Key | 1132 | 131103 | |
| 432 | samss lpc | ALPC Port | 1136 | 2031617 | |
| 432 | Semaphore | 1140 | 1048579 | ||
| 432 | SAM_SERVICE_STARTED | Event | 1144 | 1048578 | |
| 432 | EtwRegistration | 1148 | 2052 | ||
| 432 | EtwRegistration | 1152 | 2052 | ||
| 432 | EtwRegistration | 1160 | 2052 | ||
| 432 | TID 536 PID 432 | Thread | 1164 | 2097151 | |
| 432 | Event | 1168 | 2031619 | ||
| 432 | Semaphore | 1172 | 1048579 | ||
| 432 | Semaphore | 1176 | 1048579 | ||
| 432 | services.exe(424) | Process | 1180 | 5240 | |
| 432 | Semaphore | 1184 | 1048579 | ||
| 432 | EtwRegistration | 1188 | 2052 | ||
| 432 | ALPC Port | 1196 | 2031617 | ||
| 432 | Semaphore | 1200 | 1048579 | ||
| 432 | Semaphore | 1204 | 1048579 | ||
| 432 | svchost.exe(544) | Process | 1208 | 5240 | |
| 432 | Semaphore | 1216 | 1048579 | ||
| 432 | Semaphore | 1220 | 1048579 | ||
| 432 | svchost.exe(652) | Process | 1224 | 5240 | |
| 432 | ALPC Port | 1228 | 2031617 | ||
| 432 | ALPC Port | 1232 | 2031617 | ||
| 432 | Semaphore | 1236 | 1048579 | ||
| 432 | Semaphore | 1240 | 1048579 | ||
| 432 | Token | 1244 | 983551 | ||
| 432 | Token | 1248 | 983551 | ||
| 432 | Event | 1252 | 2031619 | ||
| 432 | Semaphore | 1256 | 1048579 | ||
| 432 | Semaphore | 1260 | 1048579 | ||
| 432 | wininit.exe(324) | Process | 1264 | 5240 | |
| 432 | Token | 1268 | 983551 | ||
| 432 | ALPC Port | 1272 | 2031617 | ||
| 432 | Token | 1276 | 983551 | ||
| 432 | Semaphore | 1280 | 1048579 | ||
| 432 | Semaphore | 1284 | 1048579 | ||
| 432 | Semaphore | 1288 | 1048579 | ||
| 432 | lsm.exe(440) | Process | 1292 | 5240 | |
| 432 | Token | 1296 | 983551 | ||
| 432 | ALPC Port | 1300 | 2031617 | ||
| 432 | Semaphore | 1312 | 1048579 | ||
| 432 | Semaphore | 1316 | 1048579 | ||
| 432 | svchost.exe(704) | Process | 1320 | 5240 | |
| 432 | TermSrvReadyEvent | Event | 1328 | 1048576 | |
| 432 | ALPC Port | 1332 | 2031617 | ||
| 432 | Event | 1340 | 2031619 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SECURITYPROVIDERS\SCHANNEL | Key | 1344 | 131097 | |
| 432 | Semaphore | 1348 | 1048579 | ||
| 432 | Semaphore | 1352 | 1048579 | ||
| 432 | svchost.exe(980) | Process | 1356 | 5240 | |
| 432 | Semaphore | 1360 | 1048579 | ||
| 432 | ALPC Port | 1364 | 2031617 | ||
| 432 | Semaphore | 1368 | 1048579 | ||
| 432 | Semaphore | 1372 | 1048579 | ||
| 432 | Semaphore | 1376 | 1048579 | ||
| 432 | Semaphore | 1380 | 1048579 | ||
| 432 | VBoxService.ex(600) | Process | 1384 | 5240 | |
| 432 | Event | 1392 | 2031619 | ||
| 432 | ALPC Port | 1396 | 2031617 | ||
| 432 | ALPC Port | 1400 | 2031617 | ||
| 432 | Semaphore | 1404 | 1048579 | ||
| 432 | ALPC Port | 1408 | 2031617 | ||
| 432 | Semaphore | 1412 | 1048579 | ||
| 432 | Semaphore | 1416 | 1048579 | ||
| 432 | svchost.exe(816) | Process | 1420 | 5240 | |
| 432 | Semaphore | 1424 | 1048579 | ||
| 432 | Semaphore | 1428 | 1048579 | ||
| 432 | svchost.exe(816) | Process | 1432 | 5240 | |
| 432 | Event | 1436 | 2031619 | ||
| 432 | Event | 1440 | 2031619 | ||
| 432 | Token | 1444 | 14 | ||
| 432 | Event | 1448 | 2031619 | ||
| 432 | Semaphore | 1452 | 1048579 | ||
| 432 | ALPC Port | 1456 | 2031617 | ||
| 432 | Semaphore | 1460 | 1048579 | ||
| 432 | \Device\Nsi | File | 1464 | 1048704 | |
| 432 | Token | 1468 | 983551 | ||
| 432 | Token | 1472 | 983551 | ||
| 432 | ALPC Port | 1476 | 2031617 | ||
| 432 | Semaphore | 1480 | 1048579 | ||
| 432 | Semaphore | 1484 | 1048579 | ||
| 432 | winlogon.exe(376) | Process | 1488 | 5240 | |
| 432 | Semaphore | 1492 | 1048579 | ||
| 432 | \Device\KsecDD | File | 1496 | 1048577 | |
| 432 | Semaphore | 1500 | 1048579 | ||
| 432 | ALPC Port | 1504 | 2031617 | ||
| 432 | Token | 1508 | 983551 | ||
| 432 | Semaphore | 1512 | 1048579 | ||
| 432 | Semaphore | 1516 | 1048579 | ||
| 432 | Semaphore | 1520 | 1048579 | ||
| 432 | Semaphore | 1524 | 1048579 | ||
| 432 | winlogon.exe(376) | Process | 1528 | 5240 | |
| 432 | ALPC Port | 1532 | 2031617 | ||
| 432 | ALPC Port | 1536 | 2031617 | ||
| 432 | Semaphore | 1540 | 1048579 | ||
| 432 | Event | 1544 | 2031619 | ||
| 432 | Semaphore | 1548 | 1048579 | ||
| 432 | Semaphore | 1552 | 1048579 | ||
| 432 | svchost.exe(1112) | Process | 1556 | 5240 | |
| 432 | Event | 1560 | 2031619 | ||
| 432 | Semaphore | 1564 | 1048579 | ||
| 432 | Semaphore | 1568 | 1048579 | ||
| 432 | Semaphore | 1572 | 1048579 | ||
| 432 | Semaphore | 1576 | 1048579 | ||
| 432 | Event | 1584 | 2031619 | ||
| 432 | ALPC Port | 1588 | 2031617 | ||
| 432 | Token | 1592 | 983551 | ||
| 432 | Semaphore | 1596 | 1048579 | ||
| 432 | Semaphore | 1600 | 1048579 | ||
| 432 | Semaphore | 1604 | 1048579 | ||
| 432 | svchost.exe(1152) | Process | 1608 | 5240 | |
| 432 | Token | 1612 | 983551 | ||
| 432 | \Device\NamedPipe\lsass | File | 1624 | 1180063 | |
| 432 | Token | 1628 | 983551 | ||
| 432 | Token | 1632 | 983551 | ||
| 432 | Semaphore | 1636 | 1048579 | ||
| 432 | Semaphore | 1640 | 1048579 | ||
| 432 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\CRYPTOGRAPHY\CONFIGURATION\SSL\00010002 | Key | 1644 | 131097 | |
| 432 | Semaphore | 1648 | 1048579 | ||
| 432 | EtwRegistration | 1664 | 2052 | ||
| 432 | EtwRegistration | 1668 | 2052 | ||
| 432 | EtwRegistration | 1672 | 2052 | ||
| 432 | EtwRegistration | 1676 | 2052 | ||
| 432 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Credentials | File | 1680 | 1048577 | |
| 432 | USER | Key | 1684 | 983103 | |
| 432 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Credentials | File | 1688 | 1048577 | |
| 432 | \Device\NamedPipe\lsass | File | 1692 | 1180063 | |
| 432 | Semaphore | 1696 | 1048579 | ||
| 432 | Semaphore | 1700 | 1048579 | ||
| 432 | ALPC Port | 1704 | 2031617 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA | Key | 1708 | 131097 | |
| 432 | Semaphore | 1712 | 1048579 | ||
| 432 | Semaphore | 1716 | 1048579 | ||
| 432 | Semaphore | 1720 | 1048579 | ||
| 432 | svchost.exe(788) | Process | 1724 | 5240 | |
| 432 | ALPC Port | 1728 | 2031617 | ||
| 432 | Semaphore | 1732 | 1048579 | ||
| 432 | Semaphore | 1736 | 1048579 | ||
| 432 | Semaphore | 1740 | 1048579 | ||
| 432 | Semaphore | 1744 | 1048579 | ||
| 432 | Semaphore | 1748 | 1048579 | ||
| 432 | Semaphore | 1752 | 1048579 | ||
| 432 | ALPC Port | 1756 | 2031617 | ||
| 432 | Semaphore | 1760 | 1048579 | ||
| 432 | Semaphore | 1764 | 1048579 | ||
| 432 | explorer.exe(1460) | Process | 1768 | 5240 | |
| 432 | Semaphore | 1772 | 1048579 | ||
| 432 | Semaphore | 1776 | 1048579 | ||
| 432 | Semaphore | 1780 | 1048579 | ||
| 432 | taskhost.exe(1492) | Process | 1784 | 5240 | |
| 432 | Semaphore | 1788 | 1048579 | ||
| 432 | Semaphore | 1792 | 1048579 | ||
| 432 | ALPC Port | 1796 | 2031617 | ||
| 432 | ALPC Port | 1800 | 2031617 | ||
| 432 | Semaphore | 1808 | 1048579 | ||
| 432 | Semaphore | 1812 | 1048579 | ||
| 432 | Semaphore | 1816 | 1048579 | ||
| 432 | VBoxTray.exe(1648) | Process | 1820 | 5240 | |
| 432 | \Device\NamedPipe\Winsock2\CatalogChangeListener-1b0-0 | File | 1824 | 1441929 | |
| 432 | \Device\Afd\Endpoint | File | 1832 | 1442207 | |
| 432 | \Device\Afd\Endpoint | File | 1836 | 1442207 | |
| 432 | \Device\Afd\Endpoint | File | 1840 | 1442207 | |
| 432 | \Device\Afd\Endpoint | File | 1844 | 1442207 | |
| 432 | Semaphore | 1848 | 1048579 | ||
| 432 | Token | 1852 | 983551 | ||
| 432 | Semaphore | 1856 | 1048579 | ||
| 432 | Semaphore | 1860 | 1048579 | ||
| 432 | System(4) | Process | 1864 | 4096 | |
| 432 | Token | 1868 | 983551 | ||
| 432 | Semaphore | 1872 | 1048579 | ||
| 432 | Semaphore | 1876 | 1048579 | ||
| 432 | Semaphore | 1880 | 1048579 | ||
| 432 | System(4) | Process | 1884 | 4096 | |
| 432 | svchost.exe(816) | Process | 1888 | 5240 | |
| 432 | steamwebhelper(3108) | Process | 1892 | 5240 | |
| 432 | Event | 1896 | 2031619 | ||
| 432 | Semaphore | 1908 | 1048579 | ||
| 432 | Semaphore | 1912 | 1048579 | ||
| 432 | Semaphore | 1916 | 1048579 | ||
| 432 | Semaphore | 1920 | 1048579 | ||
| 432 | plugin-contain(1744) | Process | 1924 | 5240 | |
| 432 | Semaphore | 1928 | 1048579 | ||
| 432 | Semaphore | 1932 | 1048579 | ||
| 432 | Semaphore | 1936 | 1048579 | ||
| 432 | firefox.exe(1016) | Process | 1940 | 5240 | |
| 432 | Semaphore | 1944 | 1048579 | ||
| 432 | Semaphore | 1948 | 1048579 | ||
| 432 | Semaphore | 1952 | 1048579 | ||
| 432 | Semaphore | 1956 | 1048579 | ||
| 432 | Semaphore | 1960 | 1048579 | ||
| 432 | Semaphore | 1964 | 1048579 | ||
| 432 | Semaphore | 1968 | 1048579 | ||
| 432 | Event | 1972 | 2031619 | ||
| 432 | Event | 1980 | 2031619 | ||
| 432 | Event | 1984 | 2031619 | ||
| 432 | ALPC Port | 1988 | 2031617 | ||
| 432 | EtwRegistration | 1992 | 2052 | ||
| 432 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\CRYPT32 | Key | 1996 | 131097 | |
| 432 | Event | 2000 | 2031619 | ||
| 432 | Event | 2004 | 2031619 | ||
| 432 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\MY | Key | 2008 | 131097 | |
| 432 | Event | 2012 | 2031619 | ||
| 432 | Event | 2016 | 2031619 | ||
| 432 | Semaphore | 2020 | 1048579 | ||
| 432 | Event | 2024 | 2031619 | ||
| 432 | TID 1724 PID 432 | Thread | 2028 | 2097151 | |
| 432 | Semaphore | 2032 | 1048579 | ||
| 432 | Event | 2036 | 2031619 | ||
| 432 | Semaphore | 2040 | 1048579 | ||
| 432 | Semaphore | 2044 | 1048579 | ||
| 432 | lsass.exe(432) | Process | 2052 | 5240 | |
| 432 | Semaphore | 2056 | 1048579 | ||
| 432 | ALPC Port | 2072 | 2031617 | ||
| 432 | ALPC Port | 2080 | 2031617 | ||
| 432 | Semaphore | 2084 | 1048579 | ||
| 432 | Semaphore | 2092 | 1048579 | ||
| 432 | Semaphore | 2096 | 1048579 | ||
| 432 | WmiPrvSE.exe(1948) | Process | 2100 | 5240 | |
| 440 | KnownDlls | Directory | 4 | 3 | |
| 440 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 440 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 440 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 440 | ALPC Port | 20 | 2031617 | ||
| 440 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 440 | EtwRegistration | 28 | 2052 | ||
| 440 | Semaphore | 32 | 1048579 | ||
| 440 | Semaphore | 36 | 1048579 | ||
| 440 | EtwRegistration | 40 | 2052 | ||
| 440 | EtwRegistration | 44 | 2052 | ||
| 440 | MACHINE | Key | 48 | 983103 | |
| 440 | BaseNamedObjects | Directory | 52 | 15 | |
| 440 | Semaphore | 56 | 1048579 | ||
| 440 | Semaphore | 60 | 1048579 | ||
| 440 | Semaphore | 64 | 1048579 | ||
| 440 | Semaphore | 68 | 1048579 | ||
| 440 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 72 | 1 | |
| 440 | Event | 76 | 2031619 | ||
| 440 | Event | 80 | 2031619 | ||
| 440 | Event | 84 | 2031619 | ||
| 440 | EtwRegistration | 88 | 2052 | ||
| 440 | EtwRegistration | 92 | 2052 | ||
| 440 | Event | 96 | 2031619 | ||
| 440 | TID 444 PID 440 | Thread | 100 | 2097151 | |
| 440 | KeyedEvent | 108 | 983043 | ||
| 440 | IoCompletion | 112 | 2031619 | ||
| 440 | TpWorkerFactory | 116 | 983295 | ||
| 440 | Timer | 120 | 1048578 | ||
| 440 | Timer | 124 | 2031619 | ||
| 440 | TID 540 PID 440 | Thread | 128 | 2097151 | |
| 440 | TID 540 PID 440 | Thread | 132 | 2097151 | |
| 440 | Timer | 136 | 1048578 | ||
| 440 | \Device\KsecDD | File | 140 | 1048577 | |
| 440 | Semaphore | 144 | 1048579 | ||
| 440 | Event | 148 | 2031619 | ||
| 440 | Event | 152 | 2031619 | ||
| 440 | TID 712 PID 440 | Thread | 156 | 2097151 | |
| 440 | Semaphore | 160 | 1048579 | ||
| 440 | Semaphore | 164 | 1048579 | ||
| 440 | Semaphore | 168 | 1048579 | ||
| 440 | Semaphore | 172 | 1048579 | ||
| 440 | Semaphore | 176 | 1048579 | ||
| 440 | Semaphore | 180 | 1048579 | ||
| 440 | Semaphore | 184 | 1048579 | ||
| 440 | Semaphore | 188 | 1048579 | ||
| 440 | Semaphore | 192 | 1048579 | ||
| 440 | EtwRegistration | 196 | 2052 | ||
| 440 | Semaphore | 200 | 1048579 | ||
| 440 | \Device\PcwDrv | File | 204 | 1 | |
| 440 | PcwObject | 208 | 3 | ||
| 440 | Semaphore | 212 | 1048579 | ||
| 440 | Semaphore | 216 | 1048579 | ||
| 440 | Semaphore | 220 | 1048579 | ||
| 440 | Semaphore | 224 | 1048579 | ||
| 440 | Semaphore | 228 | 1048579 | ||
| 440 | Semaphore | 232 | 1048579 | ||
| 440 | Semaphore | 236 | 1048579 | ||
| 440 | Semaphore | 240 | 1048579 | ||
| 440 | Semaphore | 244 | 1048579 | ||
| 440 | Semaphore | 248 | 1048579 | ||
| 440 | Semaphore | 252 | 1048579 | ||
| 440 | Semaphore | 256 | 1048579 | ||
| 440 | Semaphore | 260 | 1048579 | ||
| 440 | Semaphore | 264 | 1048579 | ||
| 440 | Semaphore | 268 | 1048579 | ||
| 440 | ALPC Port | 272 | 2031617 | ||
| 440 | SmSsWinStationApiPort | ALPC Port | 276 | 2031617 | |
| 440 | wininit.exe(324) | Process | 280 | 1048576 | |
| 440 | csrss.exe(288) | Process | 284 | 1053760 | |
| 440 | Semaphore | 288 | 1048579 | ||
| 440 | Semaphore | 292 | 1048579 | ||
| 440 | csrss.exe(288) | Process | 296 | 1053760 | |
| 440 | wininit.exe(324) | Process | 300 | 1048576 | |
| 440 | Session0 | Session | 304 | 131075 | |
| 440 | Semaphore | 308 | 1048579 | ||
| 440 | Semaphore | 312 | 1048579 | ||
| 440 | Semaphore | 316 | 1048579 | ||
| 440 | Semaphore | 320 | 1048579 | ||
| 440 | Semaphore | 324 | 1048579 | ||
| 440 | Semaphore | 328 | 1048579 | ||
| 440 | Semaphore | 332 | 1048579 | ||
| 440 | Semaphore | 336 | 1048579 | ||
| 440 | Semaphore | 340 | 1048579 | ||
| 440 | Semaphore | 344 | 1048579 | ||
| 440 | winlogon.exe(376) | Process | 348 | 1048576 | |
| 440 | csrss.exe(336) | Process | 352 | 1053760 | |
| 440 | Semaphore | 356 | 1048579 | ||
| 440 | Semaphore | 360 | 1048579 | ||
| 440 | csrss.exe(336) | Process | 364 | 1053760 | |
| 440 | winlogon.exe(376) | Process | 368 | 1048576 | |
| 440 | Session1 | Session | 372 | 131075 | |
| 440 | Semaphore | 376 | 1048579 | ||
| 440 | Semaphore | 380 | 1048579 | ||
| 440 | Semaphore | 384 | 1048579 | ||
| 440 | Semaphore | 388 | 1048579 | ||
| 440 | Event | 392 | 2031619 | ||
| 440 | ALPC Port | 396 | 2031617 | ||
| 440 | LRPC-4c35910015c404a982 | ALPC Port | 400 | 2031617 | |
| 440 | LSMApi | ALPC Port | 404 | 2031617 | |
| 440 | Semaphore | 408 | 1048579 | ||
| 440 | Semaphore | 412 | 1048579 | ||
| 440 | ALPC Port | 416 | 2031617 | ||
| 440 | \Device\NamedPipe\LSM_API_service | File | 420 | 1180063 | |
| 440 | \Device\NamedPipe\LSM_API_service | File | 424 | 1180063 | |
| 440 | \Device\NamedPipe\LSM_API_service | File | 428 | 1180063 | |
| 440 | TermSrvReadyEvent | Event | 432 | 2 | |
| 440 | Mutant | 436 | 2031617 | ||
| 440 | Event | 440 | 2031619 | ||
| 440 | ALPC Port | 444 | 2031617 | ||
| 440 | ALPC Port | 448 | 2031617 | ||
| 440 | TID 736 PID 440 | Thread | 452 | 2097151 | |
| 440 | Event | 460 | 2031619 | ||
| 440 | TID 760 PID 440 | Thread | 464 | 2097151 | |
| 440 | Event | 468 | 2031619 | ||
| 440 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\TERMINAL SERVER | Key | 472 | 131097 | |
| 440 | MACHINE\SOFTWARE\POLICIES | Key | 476 | 131097 | |
| 440 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\LSA\FIPSALGORITHMPOLICY | Key | 480 | 131097 | |
| 440 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\TERMINAL SERVER\WINSTATIONS | Key | 484 | 131097 | |
| 440 | Event | 488 | 2031619 | ||
| 440 | Event | 492 | 2031619 | ||
| 440 | Event | 496 | 2031619 | ||
| 440 | Event | 500 | 2031619 | ||
| 440 | Event | 504 | 2031619 | ||
| 440 | TID 2300 PID 440 | Thread | 508 | 2097151 | |
| 440 | Event | 512 | 2031619 | ||
| 440 | Event | 516 | 2031619 | ||
| 440 | Semaphore | 528 | 1048579 | ||
| 440 | Semaphore | 532 | 1048579 | ||
| 440 | ALPC Port | 536 | 2031617 | ||
| 440 | \Device\HarddiskVolume2\Windows\System32\en-US\lsm.exe.mui | File | 540 | 1179785 | |
| 440 | ALPC Port | 548 | 2031617 | ||
| 440 | Event | 552 | 2031619 | ||
| 440 | TID 748 PID 440 | Thread | 556 | 2097151 | |
| 440 | ALPC Port | 564 | 2031617 | ||
| 440 | Event | 572 | 2031619 | ||
| 440 | TID 848 PID 440 | Thread | 576 | 2097151 | |
| 440 | Token | 584 | 983551 | ||
| 440 | ALPC Port | 588 | 2031617 | ||
| 440 | Semaphore | 592 | 1048579 | ||
| 440 | Semaphore | 596 | 1048579 | ||
| 440 | Event | 600 | 2031619 | ||
| 440 | ALPC Port | 608 | 2031617 | ||
| 440 | Semaphore | 612 | 1048579 | ||
| 440 | Semaphore | 616 | 1048579 | ||
| 440 | Event | 620 | 2031619 | ||
| 544 | KnownDlls | Directory | 4 | 3 | |
| 544 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 544 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 544 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 544 | ALPC Port | 20 | 2031617 | ||
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 544 | EtwRegistration | 28 | 2052 | ||
| 544 | Event | 32 | 2031619 | ||
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 544 | Event | 40 | 2031619 | ||
| 544 | Event | 44 | 2031619 | ||
| 544 | EtwRegistration | 48 | 2052 | ||
| 544 | EtwRegistration | 52 | 2052 | ||
| 544 | Token | 56 | 72 | ||
| 544 | Event | 60 | 2031619 | ||
| 544 | TID 548 PID 544 | Thread | 64 | 2097151 | |
| 544 | ALPC Port | 68 | 2031617 | ||
| 544 | BaseNamedObjects | Directory | 72 | 15 | |
| 544 | Event | 76 | 2031619 | ||
| 544 | KeyedEvent | 80 | 983043 | ||
| 544 | IoCompletion | 84 | 2031619 | ||
| 544 | TpWorkerFactory | 88 | 983295 | ||
| 544 | ALPC Port | 92 | 2031617 | ||
| 544 | Event | 100 | 2031619 | ||
| 544 | USER\.DEFAULT\CONTROL PANEL\INTERNATIONAL | Key | 104 | 131097 | |
| 544 | EtwRegistration | 108 | 2052 | ||
| 544 | \Device\KsecDD | File | 112 | 1048577 | |
| 544 | EtwRegistration | 116 | 2052 | ||
| 544 | Service-0x0-3e7$ | WindowStation | 120 | 983406 | |
| 544 | Default | Desktop | 124 | 983247 | |
| 544 | Service-0x0-3e7$ | WindowStation | 128 | 983406 | |
| 544 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 132 | 1179785 | |
| 544 | Semaphore | 136 | 1048579 | ||
| 544 | EtwRegistration | 140 | 2052 | ||
| 544 | Semaphore | 144 | 1048579 | ||
| 544 | Event | 148 | 2031619 | ||
| 544 | Mutant | 152 | 2031617 | ||
| 544 | Event | 156 | 2031619 | ||
| 544 | Mutant | 160 | 2031617 | ||
| 544 | Event | 164 | 2031619 | ||
| 544 | Mutant | 168 | 2031617 | ||
| 544 | Event | 172 | 2031619 | ||
| 544 | Mutant | 176 | 2031617 | ||
| 544 | Event | 180 | 2031619 | ||
| 544 | Mutant | 184 | 2031617 | ||
| 544 | Event | 188 | 2031619 | ||
| 544 | Mutant | 192 | 2031617 | ||
| 544 | Event | 196 | 2031619 | ||
| 544 | Mutant | 200 | 2031617 | ||
| 544 | Event | 204 | 2031619 | ||
| 544 | Mutant | 208 | 2031617 | ||
| 544 | Event | 212 | 2031619 | ||
| 544 | Mutant | 216 | 2031617 | ||
| 544 | Event | 220 | 2031619 | ||
| 544 | Mutant | 224 | 2031617 | ||
| 544 | Event | 228 | 2031619 | ||
| 544 | Mutant | 232 | 2031617 | ||
| 544 | Event | 236 | 2031619 | ||
| 544 | Mutant | 240 | 2031617 | ||
| 544 | Event | 244 | 2031619 | ||
| 544 | Mutant | 248 | 2031617 | ||
| 544 | Event | 252 | 2031619 | ||
| 544 | Mutant | 256 | 2031617 | ||
| 544 | Event | 260 | 2031619 | ||
| 544 | Mutant | 264 | 2031617 | ||
| 544 | Event | 268 | 2031619 | ||
| 544 | Mutant | 272 | 2031617 | ||
| 544 | Event | 276 | 2031619 | ||
| 544 | Mutant | 280 | 2031617 | ||
| 544 | Event | 284 | 2031619 | ||
| 544 | Mutant | 288 | 2031617 | ||
| 544 | Event | 292 | 2031619 | ||
| 544 | Mutant | 296 | 2031617 | ||
| 544 | Event | 300 | 2031619 | ||
| 544 | Mutant | 304 | 2031617 | ||
| 544 | Event | 308 | 2031619 | ||
| 544 | Mutant | 312 | 2031617 | ||
| 544 | Event | 316 | 2031619 | ||
| 544 | Mutant | 320 | 2031617 | ||
| 544 | Event | 324 | 2031619 | ||
| 544 | Mutant | 328 | 2031617 | ||
| 544 | Event | 332 | 2031619 | ||
| 544 | Mutant | 336 | 2031617 | ||
| 544 | Event | 340 | 2031619 | ||
| 544 | Mutant | 344 | 2031617 | ||
| 544 | Event | 348 | 2031619 | ||
| 544 | Mutant | 352 | 2031617 | ||
| 544 | Event | 356 | 2031619 | ||
| 544 | Mutant | 360 | 2031617 | ||
| 544 | Event | 364 | 2031619 | ||
| 544 | Mutant | 368 | 2031617 | ||
| 544 | Event | 372 | 2031619 | ||
| 544 | Mutant | 376 | 2031617 | ||
| 544 | Event | 380 | 2031619 | ||
| 544 | Mutant | 384 | 2031617 | ||
| 544 | Event | 388 | 2031619 | ||
| 544 | Mutant | 392 | 2031617 | ||
| 544 | Event | 396 | 2031619 | ||
| 544 | Mutant | 400 | 2031617 | ||
| 544 | Event | 404 | 2031619 | ||
| 544 | Mutant | 408 | 2031617 | ||
| 544 | Event | 412 | 2031619 | ||
| 544 | Mutant | 416 | 2031617 | ||
| 544 | Event | 420 | 2031619 | ||
| 544 | Mutant | 424 | 2031617 | ||
| 544 | Event | 428 | 2031619 | ||
| 544 | Mutant | 432 | 2031617 | ||
| 544 | Event | 436 | 2031619 | ||
| 544 | Mutant | 440 | 2031617 | ||
| 544 | Event | 444 | 2031619 | ||
| 544 | Mutant | 448 | 2031617 | ||
| 544 | Event | 452 | 2031619 | ||
| 544 | Mutant | 456 | 2031617 | ||
| 544 | Event | 460 | 2031619 | ||
| 544 | Mutant | 464 | 2031617 | ||
| 544 | Event | 468 | 2031619 | ||
| 544 | Mutant | 472 | 2031617 | ||
| 544 | Event | 476 | 2031619 | ||
| 544 | Mutant | 480 | 2031617 | ||
| 544 | Event | 484 | 2031619 | ||
| 544 | Mutant | 488 | 2031617 | ||
| 544 | Event | 492 | 2031619 | ||
| 544 | Mutant | 496 | 2031617 | ||
| 544 | Event | 500 | 2031619 | ||
| 544 | Mutant | 504 | 2031617 | ||
| 544 | Event | 508 | 2031619 | ||
| 544 | Mutant | 512 | 2031617 | ||
| 544 | Event | 516 | 2031619 | ||
| 544 | Mutant | 520 | 2031617 | ||
| 544 | Event | 524 | 2031619 | ||
| 544 | Mutant | 528 | 2031617 | ||
| 544 | Event | 532 | 2031619 | ||
| 544 | Mutant | 536 | 2031617 | ||
| 544 | Event | 540 | 2031619 | ||
| 544 | Mutant | 544 | 2031617 | ||
| 544 | Event | 548 | 2031619 | ||
| 544 | Mutant | 552 | 2031617 | ||
| 544 | Event | 556 | 2031619 | ||
| 544 | Mutant | 560 | 2031617 | ||
| 544 | Event | 564 | 2031619 | ||
| 544 | Mutant | 568 | 2031617 | ||
| 544 | MACHINE\SYSTEM\CONTROLSET001\SERVICES | Key | 572 | 983103 | |
| 544 | Event | 576 | 2031619 | ||
| 544 | MACHINE\SYSTEM\CONTROLSET001\ENUM | Key | 580 | 983103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\ENUM | Key | 584 | 983103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\SERVICES | Key | 588 | 983103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS | Key | 592 | 983103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES | Key | 596 | 983103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CODEVICEINSTALLERS | Key | 600 | 983103 | |
| 544 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PERHWIDSTORAGE | Key | 604 | 983103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS | Key | 608 | 983103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES | Key | 612 | 983103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\HARDWARE PROFILES | Key | 616 | 983103 | |
| 544 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PERHWIDSTORAGE | Key | 620 | 983103 | |
| 544 | ALPC Port | 624 | 2031617 | ||
| 544 | Timer | 628 | 1048578 | ||
| 544 | Timer | 632 | 2031619 | ||
| 544 | TID 564 PID 544 | Thread | 636 | 2097151 | |
| 544 | TID 564 PID 544 | Thread | 640 | 2097151 | |
| 544 | Timer | 644 | 1048578 | ||
| 544 | \Device\NamedPipe\plugplay | File | 648 | 1180063 | |
| 544 | \Device\NamedPipe\plugplay | File | 652 | 1180063 | |
| 544 | \Device\NamedPipe\plugplay | File | 656 | 1180063 | |
| 544 | plugplay | ALPC Port | 660 | 2031617 | |
| 544 | Event | 664 | 2031619 | ||
| 544 | KeyedEvent | 668 | 983043 | ||
| 544 | EtwRegistration | 672 | 2052 | ||
| 544 | EtwRegistration | 676 | 2052 | ||
| 544 | EtwRegistration | 680 | 2052 | ||
| 544 | EtwRegistration | 684 | 2052 | ||
| 544 | EtwRegistration | 688 | 2052 | ||
| 544 | Event | 692 | 2031619 | ||
| 544 | Event | 696 | 2031619 | ||
| 544 | Event | 700 | 2031619 | ||
| 544 | TID 568 PID 544 | Thread | 704 | 2097151 | |
| 544 | Event | 708 | 2031619 | ||
| 544 | Event | 712 | 2031619 | ||
| 544 | Event | 716 | 2031619 | ||
| 544 | Event | 720 | 2031619 | ||
| 544 | Event | 724 | 2031619 | ||
| 544 | Event | 728 | 2031619 | ||
| 544 | Event | 732 | 2031619 | ||
| 544 | PnP_No_Pending_Install_Events | Event | 736 | 2031619 | |
| 544 | PnP_No_Pending_Install_Clients | Event | 740 | 2031619 | |
| 544 | MACHINE\SOFTWARE\CLASSES | Key | 744 | 983103 | |
| 544 | Event | 748 | 2031619 | ||
| 544 | Event | 752 | 2031619 | ||
| 544 | TID 576 PID 544 | Thread | 756 | 2097151 | |
| 544 | Event | 760 | 2031619 | ||
| 544 | Event | 768 | 2031619 | ||
| 544 | __ComCatalogCache__ | Section | 772 | 4 | |
| 544 | TID 2700 PID 544 | Thread | 776 | 2097151 | |
| 544 | ALPC Port | 784 | 2031617 | ||
| 544 | EtwRegistration | 788 | 2052 | ||
| 544 | Mutant | 792 | 2031617 | ||
| 544 | Event | 796 | 2031619 | ||
| 544 | Event | 800 | 2031619 | ||
| 544 | Event | 804 | 2031619 | ||
| 544 | EtwRegistration | 808 | 2052 | ||
| 544 | Event | 812 | 2031619 | ||
| 544 | Event | 816 | 2031619 | ||
| 544 | Event | 820 | 2031619 | ||
| 544 | Event | 824 | 2031619 | ||
| 544 | Event | 828 | 2031619 | ||
| 544 | Event | 832 | 2031619 | ||
| 544 | Event | 836 | 35586051 | ||
| 544 | EtwRegistration | 840 | 2052 | ||
| 544 | EtwRegistration | 844 | 2052 | ||
| 544 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 848 | 1179785 | |
| 544 | Event | 852 | 2031619 | ||
| 544 | Mutant | 856 | 2031617 | ||
| 544 | Event | 860 | 2031619 | ||
| 544 | Mutant | 864 | 2031617 | ||
| 544 | TID 580 PID 544 | Thread | 868 | 2097151 | |
| 544 | Event | 872 | 2031619 | ||
| 544 | EtwRegistration | 876 | 2052 | ||
| 544 | IoCompletion | 880 | 2031619 | ||
| 544 | \Device\PcwDrv | File | 884 | 1 | |
| 544 | PcwObject | 888 | 3 | ||
| 544 | TID 584 PID 544 | Thread | 892 | 2097151 | |
| 544 | ALPC Port | 896 | 2031617 | ||
| 544 | TID 588 PID 544 | Thread | 900 | 2097151 | |
| 544 | umpo | ALPC Port | 904 | 2031617 | |
| 544 | Event | 908 | 2031619 | ||
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\POWER\POWERSETTINGS | Key | 912 | 131103 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\POWER\SECURITYDESCRIPTORS | Key | 916 | 131103 | |
| 544 | Event | 920 | 2031619 | ||
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\POWER\POWERSETTINGS\0D7DBAE2-4294-402A-BA8E-26777E8488CD | Key | 924 | 131097 | |
| 544 | Event | 928 | 2031619 | ||
| 544 | Event | 936 | 2031619 | ||
| 544 | ALPC Port | 940 | 2031617 | ||
| 544 | ALPC Port | 944 | 2031617 | ||
| 544 | ALPC Port | 948 | 2031617 | ||
| 544 | Event | 952 | 2031619 | ||
| 544 | EtwRegistration | 956 | 2052 | ||
| 544 | Event | 960 | 2031619 | ||
| 544 | EtwRegistration | 964 | 2052 | ||
| 544 | Semaphore | 968 | 1048579 | ||
| 544 | Semaphore | 972 | 1048579 | ||
| 544 | Event | 980 | 2031619 | ||
| 544 | Event | 984 | 2031619 | ||
| 544 | Event | 988 | 2031619 | ||
| 544 | ALPC Port | 992 | 2031617 | ||
| 544 | MACHINE\SOFTWARE\MICROSOFT\OLE\EVENTLOG | Key | 996 | 131097 | |
| 544 | Event | 1000 | 2031619 | ||
| 544 | IoCompletion | 1004 | 2031619 | ||
| 544 | TpWorkerFactory | 1008 | 983295 | ||
| 544 | Event | 1012 | 2031619 | ||
| 544 | Event | 1016 | 2031619 | ||
| 544 | Event | 1020 | 2031619 | ||
| 544 | Event | 1024 | 2031619 | ||
| 544 | Event | 1028 | 2031619 | ||
| 544 | MACHINE\SOFTWARE\MICROSOFT\OLE | Key | 1032 | 131097 | |
| 544 | ALPC Port | 1036 | 2031617 | ||
| 544 | Event | 1040 | 2031619 | ||
| 544 | MACHINE\SOFTWARE\MICROSOFT\OLE | Key | 1044 | 16 | |
| 544 | Event | 1048 | 2031619 | ||
| 544 | MACHINE\SOFTWARE\POLICIES | Key | 1052 | 131097 | |
| 544 | MACHINE\SOFTWARE\POLICIES | Key | 1056 | 16 | |
| 544 | actkernel | ALPC Port | 1060 | 2031617 | |
| 544 | __ComCatalogCache__ | Section | 1064 | 983047 | |
| 544 | TpWorkerFactory | 1068 | 983295 | ||
| 544 | IoCompletion | 1072 | 2031619 | ||
| 544 | Event | 1076 | 2031619 | ||
| 544 | MACHINE\SOFTWARE\CLASSES | Key | 1080 | 16 | |
| 544 | Event | 1084 | 2031619 | ||
| 544 | MACHINE\SOFTWARE\MICROSOFT\COM3 | Key | 1088 | 16 | |
| 544 | Event | 1092 | 2031619 | ||
| 544 | Event | 1096 | 2031619 | ||
| 544 | Event | 1100 | 2031619 | ||
| 544 | Event | 1104 | 2031619 | ||
| 544 | ALPC Port | 1112 | 2031617 | ||
| 544 | svchost.exe(652) | Process | 1116 | 2097151 | |
| 544 | RotHintTable | Section | 1120 | 983047 | |
| 544 | {A3BD3259-3E4F-428a-84C8-F0463A9D3EB5} | Mutant | 1124 | 2031617 | |
| 544 | {A64C7F33-DA35-459b-96CA-63B51FB0CDB9} | Section | 1128 | 983047 | |
| 544 | ALPC Port | 1132 | 2031617 | ||
| 544 | Event | 1136 | 2031619 | ||
| 544 | TID 584 PID 544 | Thread | 1140 | 2097151 | |
| 544 | ALPC Port | 1144 | 2031617 | ||
| 544 | ALPC Port | 1148 | 2031617 | ||
| 544 | ALPC Port | 1152 | 2031617 | ||
| 544 | MaximumCommitCondition | Event | 1156 | 1048577 | |
| 544 | __ComCatalogCache__ | Section | 1160 | 4 | |
| 544 | MACHINE\SOFTWARE\CLASSES | Key | 1164 | 983103 | |
| 544 | ALPC Port | 1172 | 2031617 | ||
| 544 | ALPC Port | 1184 | 2031617 | ||
| 544 | EtwRegistration | 1188 | 2052 | ||
| 544 | Mutant | 1192 | 2031617 | ||
| 544 | Event | 1200 | 2031619 | ||
| 544 | Event | 1204 | 2031619 | ||
| 544 | Semaphore | 1208 | 1048579 | ||
| 544 | Semaphore | 1212 | 1048579 | ||
| 544 | Semaphore | 1216 | 1048579 | ||
| 544 | Semaphore | 1220 | 1048579 | ||
| 544 | Semaphore | 1224 | 1048579 | ||
| 544 | Semaphore | 1228 | 1048579 | ||
| 544 | Semaphore | 1232 | 1048579 | ||
| 544 | Semaphore | 1236 | 1048579 | ||
| 544 | __ComCatalogCache__ | Section | 1240 | 4 | |
| 544 | EtwRegistration | 1244 | 2052 | ||
| 544 | EtwRegistration | 1248 | 2052 | ||
| 544 | EtwRegistration | 1252 | 2052 | ||
| 544 | EtwRegistration | 1256 | 2052 | ||
| 544 | Mutant | 1260 | 2031617 | ||
| 544 | OLEC87B0199EC234391AFEC74C71E5E | ALPC Port | 1264 | 2031617 | |
| 544 | EtwRegistration | 1268 | 2052 | ||
| 544 | EtwRegistration | 1272 | 2052 | ||
| 544 | Event | 1276 | 2031619 | ||
| 544 | ALPC Port | 1280 | 2031617 | ||
| 544 | ALPC Port | 1284 | 2031617 | ||
| 544 | Event | 1288 | 2031619 | ||
| 544 | TID 580 PID 544 | Thread | 1292 | 2097151 | |
| 544 | TID 2768 PID 544 | Thread | 1296 | 2097151 | |
| 544 | ALPC Port | 1304 | 2031617 | ||
| 544 | ALPC Port | 1308 | 2031617 | ||
| 544 | Event | 1312 | 2031619 | ||
| 544 | Mutant | 1316 | 2031617 | ||
| 544 | Mutant | 1320 | 2031617 | ||
| 544 | Event | 1324 | 2031619 | ||
| 544 | TermSrvReadyEvent | Event | 1328 | 1048576 | |
| 544 | Mutant | 1332 | 2031617 | ||
| 544 | ALPC Port | 1336 | 2031617 | ||
| 544 | ALPC Port | 1340 | 2031617 | ||
| 544 | Event | 1348 | 2031619 | ||
| 544 | ALPC Port | 1352 | 2031617 | ||
| 544 | \Device\0000003b | File | 1356 | 1180063 | |
| 544 | Event | 1360 | 2031619 | ||
| 544 | Mutant | 1364 | 2031617 | ||
| 544 | Mutant | 1368 | 2031617 | ||
| 544 | Event | 1372 | 2031619 | ||
| 544 | Mutant | 1376 | 2031617 | ||
| 544 | Event | 1380 | 2031619 | ||
| 544 | Event | 1384 | 2031619 | ||
| 544 | ALPC Port | 1388 | 2031617 | ||
| 544 | ALPC Port | 1392 | 2031617 | ||
| 544 | ALPC Port | 1400 | 2031617 | ||
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\POWER\POWERSETTINGS\0D7DBAE2-4294-402A-BA8E-26777E8488CD\309DCE9B-BEF4-4119-9921-A851FB12F0F4 | Key | 1404 | 131097 | |
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\POWER\POWERSETTINGS\7516B95F-F776-4464-8C53-06167F40CC99\3C0BC021-C8A8-4E07-A973-6B14CBCB2B7E | Key | 1408 | 131097 | |
| 544 | ALPC Port | 1416 | 2031617 | ||
| 544 | ALPC Port | 1420 | 2031617 | ||
| 544 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\POWER\POWERSETTINGS\7516B95F-F776-4464-8C53-06167F40CC99 | Key | 1424 | 131097 | |
| 600 | KnownDlls | Directory | 4 | 3 | |
| 600 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 600 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 600 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 600 | ALPC Port | 20 | 2031617 | ||
| 600 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 600 | Semaphore | 28 | 1048579 | ||
| 600 | Semaphore | 32 | 1048579 | ||
| 600 | Mutant | 36 | 2031617 | ||
| 600 | MACHINE | Key | 40 | 983103 | |
| 600 | Event | 44 | 2031619 | ||
| 600 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 48 | 1 | |
| 600 | EtwRegistration | 52 | 2052 | ||
| 600 | Event | 56 | 35586051 | ||
| 600 | Service-0x0-3e7$ | WindowStation | 60 | 983406 | |
| 600 | Default | Desktop | 64 | 983247 | |
| 600 | Service-0x0-3e7$ | WindowStation | 68 | 983406 | |
| 600 | EtwRegistration | 72 | 2052 | ||
| 600 | EtwRegistration | 76 | 2052 | ||
| 600 | EtwRegistration | 80 | 2052 | ||
| 600 | EtwRegistration | 84 | 2052 | ||
| 600 | EtwRegistration | 88 | 2052 | ||
| 600 | EtwRegistration | 92 | 2052 | ||
| 600 | EtwRegistration | 96 | 2052 | ||
| 600 | Event | 100 | 2031619 | ||
| 600 | USER\.DEFAULT\CONTROL PANEL\INTERNATIONAL | Key | 104 | 131097 | |
| 600 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 108 | 131097 | |
| 600 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 112 | 131097 | |
| 600 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 116 | 131097 | |
| 600 | Event | 120 | 2031619 | ||
| 600 | Event | 124 | 2031619 | ||
| 600 | Event | 128 | 2031619 | ||
| 600 | Event | 132 | 2031619 | ||
| 600 | Event | 136 | 2031619 | ||
| 600 | \Device\VBoxGuest | File | 140 | 1180063 | |
| 600 | Event | 144 | 2031619 | ||
| 600 | Event | 148 | 2031619 | ||
| 600 | Event | 152 | 2031619 | ||
| 600 | BaseNamedObjects | Directory | 156 | 15 | |
| 600 | VBoxService | Mutant | 160 | 2031617 | |
| 600 | Event | 164 | 2031619 | ||
| 600 | Event | 168 | 2031619 | ||
| 600 | Event | 172 | 2031619 | ||
| 600 | EtwRegistration | 176 | 2052 | ||
| 600 | EtwRegistration | 180 | 2052 | ||
| 600 | Event | 184 | 2031619 | ||
| 600 | TID 604 PID 600 | Thread | 188 | 2097151 | |
| 600 | ALPC Port | 192 | 2031617 | ||
| 600 | Event | 196 | 2031619 | ||
| 600 | IoCompletion | 200 | 2031619 | ||
| 600 | TpWorkerFactory | 204 | 983295 | ||
| 600 | KeyedEvent | 208 | 983043 | ||
| 600 | TID 1348 PID 600 | Thread | 212 | 2097151 | |
| 600 | Event | 216 | 2031619 | ||
| 600 | Event | 220 | 2031619 | ||
| 600 | EtwRegistration | 224 | 2052 | ||
| 600 | Event | 228 | 2031619 | ||
| 600 | Semaphore | 232 | 1048579 | ||
| 600 | Semaphore | 236 | 1048579 | ||
| 600 | Semaphore | 240 | 1048579 | ||
| 600 | Semaphore | 244 | 1048579 | ||
| 600 | Semaphore | 248 | 1048579 | ||
| 600 | Semaphore | 252 | 1048579 | ||
| 600 | Semaphore | 256 | 1048579 | ||
| 600 | Semaphore | 260 | 1048579 | ||
| 600 | TID 616 PID 600 | Thread | 264 | 2097151 | |
| 600 | Event | 268 | 2031619 | ||
| 600 | Event | 272 | 2031619 | ||
| 600 | Token | 276 | 40 | ||
| 600 | ALPC Port | 280 | 2031617 | ||
| 600 | Timer | 284 | 1048578 | ||
| 600 | Timer | 288 | 2031619 | ||
| 600 | TID 620 PID 600 | Thread | 292 | 2097151 | |
| 600 | TID 620 PID 600 | Thread | 296 | 2097151 | |
| 600 | IoCompletion | 300 | 2031619 | ||
| 600 | TpWorkerFactory | 304 | 983295 | ||
| 600 | Timer | 308 | 1048578 | ||
| 600 | Event | 312 | 2031619 | ||
| 600 | Event | 316 | 2031619 | ||
| 600 | Event | 320 | 2031619 | ||
| 600 | Event | 324 | 2031619 | ||
| 600 | Event | 328 | 2031619 | ||
| 600 | Event | 332 | 2031619 | ||
| 600 | Event | 336 | 2031619 | ||
| 600 | TID 624 PID 600 | Thread | 340 | 2097151 | |
| 600 | Event | 344 | 2031619 | ||
| 600 | Event | 348 | 2031619 | ||
| 600 | TID 628 PID 600 | Thread | 352 | 2097151 | |
| 600 | Event | 356 | 2031619 | ||
| 600 | Event | 360 | 2031619 | ||
| 600 | TID 632 PID 600 | Thread | 364 | 2097151 | |
| 600 | Event | 368 | 2031619 | ||
| 600 | Event | 372 | 2031619 | ||
| 600 | TID 636 PID 600 | Thread | 376 | 2097151 | |
| 600 | TID 632 PID 600 | Thread | 380 | 2097151 | |
| 600 | Event | 384 | 2031619 | ||
| 600 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 388 | 983103 | |
| 600 | Event | 392 | 2031619 | ||
| 600 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 396 | 983103 | |
| 600 | Event | 400 | 2031619 | ||
| 600 | Event | 404 | 2031619 | ||
| 600 | TID 640 PID 600 | Thread | 408 | 2097151 | |
| 600 | Event | 412 | 2031619 | ||
| 600 | Event | 416 | 2031619 | ||
| 600 | TID 644 PID 600 | Thread | 420 | 2097151 | |
| 600 | Event | 424 | 2031619 | ||
| 600 | Event | 428 | 2031619 | ||
| 600 | TID 632 PID 600 | Thread | 432 | 2097151 | |
| 600 | ALPC Port | 436 | 2031617 | ||
| 600 | \Device\Nsi | File | 440 | 1048704 | |
| 600 | EtwRegistration | 444 | 2052 | ||
| 600 | TID 3160 PID 600 | Thread | 448 | 2097151 | |
| 600 | Event | 452 | 2031619 | ||
| 600 | Event | 456 | 2031619 | ||
| 600 | ALPC Port | 460 | 2031617 | ||
| 600 | EtwRegistration | 464 | 2052 | ||
| 600 | TermSrvReadyEvent | Event | 468 | 1048576 | |
| 600 | ALPC Port | 472 | 2031617 | ||
| 652 | KnownDlls | Directory | 4 | 3 | |
| 652 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 652 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 652 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 652 | ALPC Port | 20 | 2031617 | ||
| 652 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 652 | EtwRegistration | 28 | 2052 | ||
| 652 | Event | 32 | 2031619 | ||
| 652 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 652 | Event | 40 | 2031619 | ||
| 652 | Event | 44 | 2031619 | ||
| 652 | EtwRegistration | 48 | 2052 | ||
| 652 | EtwRegistration | 52 | 2052 | ||
| 652 | Token | 56 | 72 | ||
| 652 | Event | 60 | 2031619 | ||
| 652 | TID 656 PID 652 | Thread | 64 | 2097151 | |
| 652 | ALPC Port | 68 | 2031617 | ||
| 652 | BaseNamedObjects | Directory | 72 | 15 | |
| 652 | Event | 76 | 2031619 | ||
| 652 | KeyedEvent | 80 | 983043 | ||
| 652 | IoCompletion | 84 | 2031619 | ||
| 652 | TpWorkerFactory | 88 | 983295 | ||
| 652 | Event | 92 | 2031619 | ||
| 652 | Event | 100 | 2031619 | ||
| 652 | USER\S-1-5-20\CONTROL PANEL\INTERNATIONAL | Key | 104 | 131097 | |
| 652 | TID 692 PID 652 | Thread | 108 | 2097151 | |
| 652 | EtwRegistration | 112 | 2052 | ||
| 652 | Event | 116 | 2031619 | ||
| 652 | Semaphore | 120 | 1048579 | ||
| 652 | Semaphore | 124 | 1048579 | ||
| 652 | LRPC-7951237ca7c9dba5dc | ALPC Port | 128 | 2031617 | |
| 652 | ALPC Port | 132 | 2031617 | ||
| 652 | \Device\KsecDD | File | 136 | 1048577 | |
| 652 | epmapper | ALPC Port | 140 | 2031617 | |
| 652 | Event | 148 | 2031619 | ||
| 652 | Token | 152 | 983551 | ||
| 652 | Event | 156 | 2031619 | ||
| 652 | ALPC Port | 160 | 2031617 | ||
| 652 | Timer | 164 | 1048578 | ||
| 652 | Timer | 168 | 2031619 | ||
| 652 | TID 684 PID 652 | Thread | 172 | 2097151 | |
| 652 | TID 684 PID 652 | Thread | 176 | 2097151 | |
| 652 | Timer | 180 | 1048578 | ||
| 652 | ALPC Port | 184 | 2031617 | ||
| 652 | ALPC Port | 188 | 2031617 | ||
| 652 | ALPC Port | 192 | 2031617 | ||
| 652 | ALPC Port | 196 | 2031617 | ||
| 652 | ALPC Port | 200 | 2031617 | ||
| 652 | ALPC Port | 204 | 2031617 | ||
| 652 | Event | 208 | 2031619 | ||
| 652 | Event | 212 | 2031619 | ||
| 652 | EtwRegistration | 216 | 2052 | ||
| 652 | Event | 220 | 2031619 | ||
| 652 | Event | 224 | 2031619 | ||
| 652 | MACHINE\SOFTWARE\MICROSOFT\OLE\EVENTLOG | Key | 228 | 131097 | |
| 652 | Event | 232 | 2031619 | ||
| 652 | IoCompletion | 236 | 2031619 | ||
| 652 | TpWorkerFactory | 240 | 983295 | ||
| 652 | Mutant | 244 | 2031617 | ||
| 652 | Event | 248 | 2031619 | ||
| 652 | Event | 252 | 2031619 | ||
| 652 | Event | 256 | 2031619 | ||
| 652 | Event | 260 | 2031619 | ||
| 652 | Event | 264 | 2031619 | ||
| 652 | Event | 268 | 2031619 | ||
| 652 | Event | 272 | 2031619 | ||
| 652 | MACHINE\SOFTWARE\MICROSOFT\OLE | Key | 276 | 131097 | |
| 652 | Event | 280 | 2031619 | ||
| 652 | MACHINE\SOFTWARE\MICROSOFT\OLE | Key | 284 | 16 | |
| 652 | Event | 288 | 2031619 | ||
| 652 | MACHINE\SOFTWARE\POLICIES | Key | 292 | 131097 | |
| 652 | MACHINE\SOFTWARE\POLICIES | Key | 296 | 16 | |
| 652 | Event | 300 | 2031619 | ||
| 652 | Event | 304 | 2031619 | ||
| 652 | EtwRegistration | 308 | 2052 | ||
| 652 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 312 | 131097 | |
| 652 | Event | 316 | 2031619 | ||
| 652 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 320 | 131097 | |
| 652 | TID 692 PID 652 | Thread | 324 | 2097151 | |
| 652 | Event | 328 | 35586051 | ||
| 652 | Service-0x0-3e4$ | WindowStation | 332 | 983935 | |
| 652 | Default | Desktop | 336 | 983551 | |
| 652 | Service-0x0-3e4$ | WindowStation | 340 | 983935 | |
| 652 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 344 | 1179785 | |
| 652 | \Device\Afd\Endpoint | File | 348 | 1442207 | |
| 652 | Event | 352 | 2031619 | ||
| 652 | \Device\Afd\Endpoint | File | 356 | 1442207 | |
| 652 | Event | 360 | 2031619 | ||
| 652 | \Device\Afd\Endpoint | File | 364 | 1442207 | |
| 652 | \Device\NamedPipe\Winsock2\CatalogChangeListener-28c-0 | File | 368 | 1441929 | |
| 652 | \Device\Afd\Endpoint | File | 372 | 1442207 | |
| 652 | \Device\HarddiskVolume2\Windows\System32\en-US\wshtcpip.dll.mui | File | 376 | 1179785 | |
| 652 | \Device\HarddiskVolume2\Windows\System32\en-US\wship6.dll.mui | File | 380 | 1179785 | |
| 652 | Event | 384 | 2031619 | ||
| 652 | \Device\Afd\Endpoint | File | 388 | 1442207 | |
| 652 | \Device\Afd\Endpoint | File | 392 | 1442207 | |
| 652 | \Device\Afd\Endpoint | File | 396 | 1442207 | |
| 652 | Event | 400 | 2031619 | ||
| 652 | Event | 404 | 2031619 | ||
| 652 | Event | 408 | 2031619 | ||
| 652 | Event | 412 | 2031619 | ||
| 652 | Event | 416 | 2031619 | ||
| 652 | Event | 420 | 2031619 | ||
| 652 | ALPC Port | 428 | 2031617 | ||
| 652 | ALPC Port | 432 | 2031617 | ||
| 652 | ScmCreatedEvent | Event | 436 | 2031619 | |
| 652 | ALPC Port | 444 | 2031617 | ||
| 652 | \Device\Afd\Endpoint | File | 448 | 1442207 | |
| 652 | \Device\Afd\Endpoint | File | 452 | 1442207 | |
| 652 | ALPC Port | 456 | 2031617 | ||
| 652 | \Device\NamedPipe\epmapper | File | 460 | 1180063 | |
| 652 | \Device\NamedPipe\epmapper | File | 464 | 1180063 | |
| 652 | \Device\NamedPipe\epmapper | File | 468 | 1180063 | |
| 652 | EtwRegistration | 472 | 2052 | ||
| 652 | EtwRegistration | 476 | 2052 | ||
| 652 | ALPC Port | 480 | 2031617 | ||
| 652 | ALPC Port | 484 | 2031617 | ||
| 652 | Event | 488 | 2031619 | ||
| 652 | Token | 492 | 983551 | ||
| 652 | Token | 496 | 983551 | ||
| 652 | ALPC Port | 500 | 2031617 | ||
| 652 | ALPC Port | 504 | 2031617 | ||
| 652 | Token | 508 | 983551 | ||
| 652 | ALPC Port | 512 | 2031617 | ||
| 652 | ALPC Port | 516 | 2031617 | ||
| 652 | Event | 520 | 2031619 | ||
| 652 | Token | 524 | 983551 | ||
| 652 | ALPC Port | 528 | 2031617 | ||
| 652 | __ComCatalogCache__ | Section | 532 | 4 | |
| 652 | Event | 536 | 2031619 | ||
| 652 | MACHINE\SOFTWARE\CLASSES | Key | 540 | 131097 | |
| 652 | EtwRegistration | 544 | 2052 | ||
| 652 | Event | 548 | 2031619 | ||
| 652 | Event | 552 | 2031619 | ||
| 652 | Event | 556 | 2031619 | ||
| 652 | Event | 560 | 2031619 | ||
| 652 | Event | 564 | 2031619 | ||
| 652 | Event | 568 | 2031619 | ||
| 652 | MaximumCommitCondition | Event | 572 | 1048577 | |
| 652 | __ComCatalogCache__ | Section | 576 | 4 | |
| 652 | ALPC Port | 580 | 2031617 | ||
| 652 | Event | 584 | 2031619 | ||
| 652 | Event | 588 | 2031619 | ||
| 652 | ALPC Port | 592 | 2031617 | ||
| 652 | ALPC Port | 596 | 2031617 | ||
| 652 | Event | 600 | 2031619 | ||
| 652 | Event | 604 | 2031619 | ||
| 652 | ALPC Port | 608 | 2031617 | ||
| 652 | Token | 612 | 983551 | ||
| 652 | Event | 616 | 2031619 | ||
| 652 | Event | 620 | 2031619 | ||
| 652 | ALPC Port | 624 | 2031617 | ||
| 652 | Event | 628 | 2031619 | ||
| 652 | Event | 632 | 2031619 | ||
| 652 | ALPC Port | 636 | 2031617 | ||
| 652 | ALPC Port | 640 | 2031617 | ||
| 652 | Token | 644 | 983551 | ||
| 652 | EtwRegistration | 648 | 2052 | ||
| 652 | Semaphore | 652 | 2031619 | ||
| 652 | ALPC Port | 656 | 2031617 | ||
| 652 | BFE_Notify_Event_{25ceef01-ef3a-44c4-8813-e309d21ef3d5} | Event | 660 | 1048576 | |
| 652 | Event | 664 | 2031619 | ||
| 652 | Event | 668 | 2031619 | ||
| 652 | Event | 672 | 2031619 | ||
| 652 | ALPC Port | 676 | 2031617 | ||
| 652 | ALPC Port | 680 | 2031617 | ||
| 652 | Token | 684 | 983551 | ||
| 652 | Event | 692 | 2031619 | ||
| 652 | Event | 696 | 2031619 | ||
| 652 | Token | 700 | 983551 | ||
| 652 | ALPC Port | 704 | 2031617 | ||
| 652 | ALPC Port | 708 | 2031617 | ||
| 652 | Event | 712 | 2031619 | ||
| 652 | Token | 716 | 983551 | ||
| 652 | ALPC Port | 720 | 2031617 | ||
| 652 | Token | 724 | 983551 | ||
| 652 | Event | 728 | 2031619 | ||
| 652 | Token | 732 | 983551 | ||
| 652 | WmiPrvSE.exe(1948) | Process | 736 | 2097151 | |
| 652 | ALPC Port | 740 | 2031617 | ||
| 652 | ALPC Port | 744 | 2031617 | ||
| 652 | Event | 748 | 2031619 | ||
| 652 | Event | 752 | 2031619 | ||
| 652 | Event | 756 | 2031619 | ||
| 652 | ALPC Port | 760 | 2031617 | ||
| 652 | Event | 764 | 2031619 | ||
| 652 | Event | 768 | 2031619 | ||
| 652 | Event | 772 | 2031619 | ||
| 652 | Token | 776 | 983551 | ||
| 652 | TID 3044 PID 652 | Thread | 780 | 2097151 | |
| 652 | Event | 784 | 2031619 | ||
| 652 | Event | 788 | 2031619 | ||
| 652 | Event | 792 | 2031619 | ||
| 652 | ALPC Port | 796 | 2031617 | ||
| 652 | Event | 800 | 2031619 | ||
| 652 | Event | 804 | 2031619 | ||
| 652 | Event | 808 | 2031619 | ||
| 652 | Event | 812 | 2031619 | ||
| 652 | Event | 816 | 2031619 | ||
| 652 | Event | 820 | 2031619 | ||
| 652 | Event | 824 | 2031619 | ||
| 652 | Event | 828 | 2031619 | ||
| 652 | Event | 832 | 2031619 | ||
| 652 | Event | 836 | 2031619 | ||
| 652 | Event | 840 | 2031619 | ||
| 652 | Event | 844 | 2031619 | ||
| 652 | Event | 848 | 2031619 | ||
| 652 | Event | 852 | 2031619 | ||
| 652 | Event | 856 | 2031619 | ||
| 652 | Event | 860 | 2031619 | ||
| 652 | Event | 868 | 2031619 | ||
| 652 | Event | 872 | 2031619 | ||
| 652 | TID 696 PID 652 | Thread | 880 | 2097151 | |
| 652 | Event | 884 | 2031619 | ||
| 652 | Event | 888 | 2031619 | ||
| 652 | TID 696 PID 652 | Thread | 892 | 2097151 | |
| 652 | Event | 896 | 2031619 | ||
| 652 | KeyedEvent | 900 | 983043 | ||
| 652 | ALPC Port | 904 | 2031617 | ||
| 652 | ALPC Port | 908 | 2031617 | ||
| 652 | Event | 912 | 2031619 | ||
| 652 | Token | 916 | 983551 | ||
| 652 | TID 2628 PID 652 | Thread | 924 | 2097151 | |
| 652 | Event | 928 | 2031619 | ||
| 652 | TID 2176 PID 652 | Thread | 936 | 2097151 | |
| 704 | KnownDlls | Directory | 4 | 3 | |
| 704 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 704 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 704 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 704 | ALPC Port | 20 | 2031617 | ||
| 704 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 704 | EtwRegistration | 28 | 2052 | ||
| 704 | EtwRegistration | 32 | 2052 | ||
| 704 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 704 | Event | 40 | 35586051 | ||
| 704 | Service-0x0-3e5$ | WindowStation | 44 | 983935 | |
| 704 | Default | Desktop | 48 | 983551 | |
| 704 | Service-0x0-3e5$ | WindowStation | 52 | 983935 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 56 | 1179785 | |
| 704 | Event | 60 | 2031619 | ||
| 704 | EtwRegistration | 64 | 2052 | ||
| 704 | Event | 68 | 2031619 | ||
| 704 | Event | 72 | 2031619 | ||
| 704 | Event | 76 | 2031619 | ||
| 704 | Event | 80 | 2031619 | ||
| 704 | Event | 84 | 2031619 | ||
| 704 | BaseNamedObjects | Directory | 88 | 15 | |
| 704 | Event | 92 | 2031619 | ||
| 704 | Event | 96 | 2031619 | ||
| 704 | \Device\KsecDD | File | 100 | 1048577 | |
| 704 | Event | 104 | 2031619 | ||
| 704 | Event | 108 | 2031619 | ||
| 704 | Event | 112 | 2031619 | ||
| 704 | EtwRegistration | 116 | 2052 | ||
| 704 | EtwRegistration | 120 | 2052 | ||
| 704 | Event | 124 | 2031619 | ||
| 704 | TID 708 PID 704 | Thread | 128 | 2097151 | |
| 704 | Event | 132 | 2031619 | ||
| 704 | KeyedEvent | 136 | 983043 | ||
| 704 | IoCompletion | 140 | 2031619 | ||
| 704 | TpWorkerFactory | 144 | 983295 | ||
| 704 | Timer | 148 | 1048578 | ||
| 704 | Timer | 152 | 2031619 | ||
| 704 | TID 716 PID 704 | Thread | 156 | 2097151 | |
| 704 | TID 716 PID 704 | Thread | 160 | 2097151 | |
| 704 | Timer | 164 | 1048578 | ||
| 704 | ALPC Port | 168 | 2031617 | ||
| 704 | Event | 172 | 2031619 | ||
| 704 | Mutant | 176 | 2031617 | ||
| 704 | Event | 180 | 2031619 | ||
| 704 | Token | 184 | 72 | ||
| 704 | ALPC Port | 188 | 2031617 | ||
| 704 | Event | 192 | 2031619 | ||
| 704 | TID 2668 PID 704 | Thread | 196 | 2097151 | |
| 704 | Event | 200 | 2031619 | ||
| 704 | Event | 204 | 2031619 | ||
| 704 | USER\S-1-5-19\CONTROL PANEL\INTERNATIONAL | Key | 208 | 131097 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx | File | 212 | 1180063 | |
| 704 | EtwRegistration | 216 | 2052 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx | File | 220 | 1180063 | |
| 704 | Event | 224 | 2031619 | ||
| 704 | Event | 228 | 2031619 | ||
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG | Key | 232 | 131097 | |
| 704 | Event | 236 | 2031619 | ||
| 704 | Semaphore | 240 | 1048579 | ||
| 704 | Semaphore | 244 | 1048579 | ||
| 704 | Event | 248 | 2031619 | ||
| 704 | TID 752 PID 704 | Thread | 252 | 2097151 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\EVENTLOG | Key | 256 | 16 | |
| 704 | Timer | 260 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Admin.evtx | File | 264 | 1180063 | |
| 704 | Timer | 268 | 2031619 | ||
| 704 | Event | 272 | 2031619 | ||
| 704 | Event | 276 | 2031619 | ||
| 704 | Event | 280 | 2031619 | ||
| 704 | Event | 284 | 2031619 | ||
| 704 | TID 756 PID 704 | Thread | 288 | 2097151 | |
| 704 | eventlog | ALPC Port | 292 | 2031617 | |
| 704 | \Device\NamedPipe\eventlog | File | 296 | 1180063 | |
| 704 | \Device\NamedPipe\eventlog | File | 300 | 1180063 | |
| 704 | \Device\NamedPipe\eventlog | File | 304 | 1180063 | |
| 704 | Semaphore | 308 | 1048579 | ||
| 704 | Semaphore | 312 | 1048579 | ||
| 704 | Event | 316 | 2031619 | ||
| 704 | ALPC Port | 320 | 2031617 | ||
| 704 | Event | 324 | 2031619 | ||
| 704 | Event | 328 | 35586051 | ||
| 704 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS NT | Key | 332 | 131097 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\COMPUTERNAME\ACTIVECOMPUTERNAME | Key | 336 | 131097 | |
| 704 | EtwRegistration | 340 | 2052 | ||
| 704 | Event | 344 | 2031619 | ||
| 704 | \Device\Afd\Endpoint | File | 348 | 1442207 | |
| 704 | Event | 352 | 2031619 | ||
| 704 | Event | 356 | 2031619 | ||
| 704 | EtwRegistration | 360 | 2052 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsBackup%4ActionCenter.evtx | File | 364 | 1180063 | |
| 704 | Event | 368 | 2031619 | ||
| 704 | TID 756 PID 704 | Thread | 372 | 2097151 | |
| 704 | ALPC Port | 376 | 2031617 | ||
| 704 | Event | 380 | 2031619 | ||
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 384 | 131097 | |
| 704 | Event | 388 | 2031619 | ||
| 704 | Event | 392 | 2031619 | ||
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 396 | 131097 | |
| 704 | Event | 400 | 1048579 | ||
| 704 | \Device\NamedPipe\Winsock2\CatalogChangeListener-2c0-0 | File | 404 | 1441929 | |
| 704 | \Device\Afd\Endpoint | File | 408 | 1442207 | |
| 704 | Event | 412 | 2031619 | ||
| 704 | \Device\Afd\Endpoint | File | 416 | 1442207 | |
| 704 | \Device\Afd\Endpoint | File | 420 | 1442207 | |
| 704 | Event | 424 | 2031619 | ||
| 704 | Event | 428 | 2031619 | ||
| 704 | TID 800 PID 704 | Thread | 432 | 2097151 | |
| 704 | Event | 436 | 2031619 | ||
| 704 | EtwConsumer | 440 | 1024 | ||
| 704 | TID 1512 PID 704 | Thread | 444 | 2097151 | |
| 704 | ALPC Port | 448 | 2031617 | ||
| 704 | EtwRegistration | 452 | 2052 | ||
| 704 | Event | 456 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\System.evtx | File | 460 | 1180063 | |
| 704 | Event | 464 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Application.evtx | File | 468 | 1180063 | |
| 704 | Event | 472 | 2031619 | ||
| 704 | TID 1620 PID 704 | Thread | 476 | 2097151 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Internet Explorer.evtx | File | 480 | 1180063 | |
| 704 | Event | 484 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Security.evtx | File | 488 | 1180063 | |
| 704 | TID 1288 PID 704 | Thread | 492 | 2097151 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Windows PowerShell.evtx | File | 500 | 1180063 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Key Management Service.evtx | File | 504 | 1180063 | |
| 704 | EtwConsumer | 508 | 1024 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\HardwareEvents.evtx | File | 512 | 1180063 | |
| 704 | \Device\Afd\Endpoint | File | 516 | 1442207 | |
| 704 | Event | 520 | 1048579 | ||
| 704 | EtwRegistration | 524 | 2052 | ||
| 704 | Event | 528 | 2031619 | ||
| 704 | Event | 532 | 2031619 | ||
| 704 | Event | 536 | 2031619 | ||
| 704 | TID 2668 PID 704 | Thread | 540 | 2097151 | |
| 704 | Event | 544 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Errors.evtx | File | 548 | 1180063 | |
| 704 | Event | 552 | 2031619 | ||
| 704 | Event | 556 | 2031619 | ||
| 704 | Event | 560 | 2031619 | ||
| 704 | Event | 564 | 2031619 | ||
| 704 | Event | 568 | 1048579 | ||
| 704 | EtwRegistration | 572 | 2052 | ||
| 704 | EtwRegistration | 576 | 2052 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 580 | 1179785 | |
| 704 | Event | 584 | 2031619 | ||
| 704 | Mutant | 588 | 2031617 | ||
| 704 | Event | 592 | 2031619 | ||
| 704 | Mutant | 596 | 2031617 | ||
| 704 | EtwRegistration | 600 | 2052 | ||
| 704 | EtwRegistration | 604 | 2052 | ||
| 704 | EtwRegistration | 608 | 2052 | ||
| 704 | EtwRegistration | 612 | 2052 | ||
| 704 | EtwRegistration | 616 | 2052 | ||
| 704 | EtwRegistration | 620 | 2052 | ||
| 704 | Event | 624 | 2031619 | ||
| 704 | EtwRegistration | 628 | 2052 | ||
| 704 | Event | 632 | 2031619 | ||
| 704 | __ComCatalogCache__ | Section | 636 | 4 | |
| 704 | MACHINE\SOFTWARE\CLASSES | Key | 640 | 131097 | |
| 704 | __ComCatalogCache__ | Section | 644 | 4 | |
| 704 | MaximumCommitCondition | Event | 648 | 1048577 | |
| 704 | Event | 652 | 2031619 | ||
| 704 | Mutant | 656 | 2031617 | ||
| 704 | Event | 660 | 2031619 | ||
| 704 | Mutant | 664 | 2031617 | ||
| 704 | IoCompletion | 668 | 2031619 | ||
| 704 | TID 892 PID 704 | Thread | 672 | 2097151 | |
| 704 | EtwRegistration | 676 | 2052 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Operational.evtx | File | 680 | 1180063 | |
| 704 | Event | 684 | 2031619 | ||
| 704 | DBWinMutex | Mutant | 688 | 2031617 | |
| 704 | audiodg.exe(904) | Process | 692 | 2097151 | |
| 704 | Event | 696 | 2031619 | ||
| 704 | ALPC Port | 700 | 2031617 | ||
| 704 | Event | 704 | 2031619 | ||
| 704 | Mutant | 708 | 2031617 | ||
| 704 | Mutant | 712 | 2031617 | ||
| 704 | \Device\00000044\eheadphonetopo | File | 716 | 1180063 | |
| 704 | EtwRegistration | 720 | 2052 | ||
| 704 | TID 940 PID 704 | Thread | 724 | 2097151 | |
| 704 | Event | 728 | 35586051 | ||
| 704 | Event | 732 | 2031619 | ||
| 704 | TID 940 PID 704 | Thread | 736 | 2097151 | |
| 704 | Event | 740 | 2031619 | ||
| 704 | EtwRegistration | 744 | 2052 | ||
| 704 | \Device\00000044\eheadphonewave | File | 748 | 1180063 | |
| 704 | IoCompletion | 752 | 2031619 | ||
| 704 | Event | 756 | 2031619 | ||
| 704 | TpWorkerFactory | 760 | 983295 | ||
| 704 | Event | 764 | 2031619 | ||
| 704 | Event | 768 | 2031619 | ||
| 704 | \Device\00000044\espeakertopo | File | 772 | 1180063 | |
| 704 | Event | 776 | 2031619 | ||
| 704 | \Device\00000044\espeakerwave | File | 780 | 1180063 | |
| 704 | Event | 784 | 2031619 | ||
| 704 | \Device\00000044\emicintopo | File | 788 | 1180063 | |
| 704 | Event | 792 | 2031619 | ||
| 704 | \Device\00000044\emicinwave | File | 796 | 1180063 | |
| 704 | AudioClientRpc | ALPC Port | 800 | 2031617 | |
| 704 | Semaphore | 804 | 1048579 | ||
| 704 | Semaphore | 808 | 1048579 | ||
| 704 | mmGlobalPnpInfo | Section | 812 | 983047 | |
| 704 | AudioSrv_CanAcceptMMCClient | Event | 816 | 1048578 | |
| 704 | Event | 820 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcp-Client%4Admin.evtx | File | 824 | 1180063 | |
| 704 | \Device\00000044\ecdinwave | File | 828 | 1180063 | |
| 704 | Event | 832 | 2031619 | ||
| 704 | Event | 836 | 2031619 | ||
| 704 | Event | 840 | 2031619 | ||
| 704 | Audiosrv | ALPC Port | 844 | 2031617 | |
| 704 | EtwRegistration | 848 | 2052 | ||
| 704 | EtwRegistration | 852 | 2052 | ||
| 704 | Event | 856 | 2031619 | ||
| 704 | Event | 860 | 2031619 | ||
| 704 | TID 1036 PID 704 | Thread | 864 | 2097151 | |
| 704 | Event | 868 | 2031619 | ||
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\DHCP\PARAMETERS | Key | 872 | 13 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES | Key | 876 | 15 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS | Key | 880 | 15 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\DHCP\PARAMETERS\OPTIONS | Key | 884 | 15 | |
| 704 | Timer | 888 | 2031619 | ||
| 704 | Event | 892 | 2031619 | ||
| 704 | Event | 896 | 2031619 | ||
| 704 | EtwRegistration | 900 | 2052 | ||
| 704 | EtwRegistration | 904 | 2052 | ||
| 704 | EtwRegistration | 908 | 2052 | ||
| 704 | Event | 912 | 2031619 | ||
| 704 | Event | 916 | 2031619 | ||
| 704 | EtwRegistration | 920 | 2052 | ||
| 704 | Event | 924 | 2031619 | ||
| 704 | TID 1040 PID 704 | Thread | 928 | 2097151 | |
| 704 | dhcpcsvc | ALPC Port | 932 | 2031617 | |
| 704 | EtwRegistration | 936 | 2052 | ||
| 704 | Timer | 940 | 2031619 | ||
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\DHCP\PARAMETERSV6 | Key | 944 | 13 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP6\PARAMETERS | Key | 948 | 15 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP6\PARAMETERS\INTERFACES | Key | 952 | 15 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\DHCP\PARAMETERSV6\OPTIONS | Key | 956 | 15 | |
| 704 | Event | 960 | 2031619 | ||
| 704 | Event | 964 | 2031619 | ||
| 704 | TID 1040 PID 704 | Thread | 968 | 2097151 | |
| 704 | Event | 972 | 2031619 | ||
| 704 | Event | 976 | 2031619 | ||
| 704 | TID 1040 PID 704 | Thread | 980 | 2097151 | |
| 704 | dhcpcsvc6 | ALPC Port | 984 | 2031617 | |
| 704 | Mutant | 988 | 2031617 | ||
| 704 | ALPC Port | 996 | 2031617 | ||
| 704 | Event | 1000 | 2031619 | ||
| 704 | Event | 1004 | 2031619 | ||
| 704 | \Device\Nsi | File | 1008 | 1048704 | |
| 704 | HomeGroupStateEvent_{2268D6CD-185C-4760-8B0F-0DD48F3363AE} | Event | 1012 | 2 | |
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS\INTERFACES\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} | Key | 1016 | 15 | |
| 704 | Event | 1020 | 2031619 | ||
| 704 | Event | 1024 | 2031619 | ||
| 704 | TID 1036 PID 704 | Thread | 1028 | 2097151 | |
| 704 | Event | 1032 | 2031619 | ||
| 704 | Semaphore | 1036 | 2031619 | ||
| 704 | Event | 1040 | 2031619 | ||
| 704 | Semaphore | 1044 | 2031619 | ||
| 704 | ALPC Port | 1048 | 2031617 | ||
| 704 | Event | 1052 | 2031619 | ||
| 704 | Event | 1056 | 2031619 | ||
| 704 | EtwRegistration | 1060 | 2052 | ||
| 704 | TermSrvReadyEvent | Event | 1064 | 1048576 | |
| 704 | EtwConsumer | 1068 | 1024 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcpv6-Client%4Admin.evtx | File | 1072 | 1180063 | |
| 704 | ALPC Port | 1076 | 2031617 | ||
| 704 | Event | 1080 | 2031619 | ||
| 704 | Event | 1084 | 2031619 | ||
| 704 | Event | 1088 | 2031619 | ||
| 704 | Event | 1092 | 2031619 | ||
| 704 | Event | 1096 | 2031619 | ||
| 704 | Event | 1100 | 2031619 | ||
| 704 | Event | 1104 | 2031619 | ||
| 704 | Event | 1108 | 2031619 | ||
| 704 | Event | 1112 | 2031619 | ||
| 704 | Event | 1116 | 2031619 | ||
| 704 | Event | 1120 | 2031619 | ||
| 704 | Event | 1124 | 2031619 | ||
| 704 | Event | 1128 | 2031619 | ||
| 704 | Event | 1132 | 2031619 | ||
| 704 | Event | 1136 | 2031619 | ||
| 704 | Event | 1140 | 2031619 | ||
| 704 | Event | 1144 | 2031619 | ||
| 704 | Event | 1148 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-StoreMgr%4Operational.evtx | File | 1152 | 1180063 | |
| 704 | Event | 1156 | 2031619 | ||
| 704 | Event | 1160 | 2031619 | ||
| 704 | ALPC Port | 1164 | 2031617 | ||
| 704 | Event | 1168 | 2031619 | ||
| 704 | Event | 1172 | 2031619 | ||
| 704 | TID 752 PID 704 | Thread | 1176 | 2097151 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx | File | 1180 | 1180063 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-User Profile Service%4Operational.evtx | File | 1184 | 1180063 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Winlogon%4Operational.evtx | File | 1188 | 1180063 | |
| 704 | Event | 1192 | 2031619 | ||
| 704 | Event | 1196 | 2031619 | ||
| 704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP6\PARAMETERS\INTERFACES\{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} | Key | 1200 | 15 | |
| 704 | Event | 1204 | 1048579 | ||
| 704 | TID 2920 PID 704 | Thread | 1208 | 2097151 | |
| 704 | TID 492 PID 704 | Thread | 1212 | 2097151 | |
| 704 | EtwRegistration | 1216 | 2052 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx | File | 1220 | 1180063 | |
| 704 | EtwRegistration | 1224 | 2052 | ||
| 704 | Event | 1228 | 2031619 | ||
| 704 | Event | 1232 | 2031619 | ||
| 704 | Event | 1236 | 2031619 | ||
| 704 | EtwRegistration | 1240 | 2052 | ||
| 704 | Event | 1244 | 2031619 | ||
| 704 | ALPC Port | 1248 | 2031617 | ||
| 704 | Event | 1252 | 2031619 | ||
| 704 | ALPC Port | 1260 | 2031617 | ||
| 704 | Event | 1264 | 2031619 | ||
| 704 | Event | 1268 | 2031619 | ||
| 704 | Event | 1272 | 2031619 | ||
| 704 | Event | 1276 | 2031619 | ||
| 704 | Event | 1280 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx | File | 1284 | 1180063 | |
| 704 | Event | 1288 | 2031619 | ||
| 704 | Event | 1292 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-NCSI%4Operational.evtx | File | 1296 | 1180063 | |
| 704 | Event | 1300 | 2031619 | ||
| 704 | Event | 1304 | 2031619 | ||
| 704 | ALPC Port | 1308 | 2031617 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkProfile%4Operational.evtx | File | 1312 | 1180063 | |
| 704 | EtwRegistration | 1316 | 2052 | ||
| 704 | ALPC Port | 1320 | 2031617 | ||
| 704 | ALPC Port | 1324 | 2031617 | ||
| 704 | EtwRegistration | 1328 | 2052 | ||
| 704 | OLE5697F6EFA98D4C2E84363DDA572A | ALPC Port | 1332 | 2031617 | |
| 704 | Event | 1336 | 2031619 | ||
| 704 | EtwRegistration | 1340 | 2052 | ||
| 704 | ALPC Port | 1344 | 2031617 | ||
| 704 | Event | 1348 | 2031619 | ||
| 704 | Event | 1352 | 2031619 | ||
| 704 | ALPC Port | 1356 | 2031617 | ||
| 704 | EtwRegistration | 1360 | 2052 | ||
| 704 | EtwRegistration | 1364 | 2052 | ||
| 704 | EtwRegistration | 1368 | 2052 | ||
| 704 | ALPC Port | 1372 | 2031617 | ||
| 704 | Event | 1376 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4WHC.evtx | File | 1380 | 1180063 | |
| 704 | ALPC Port | 1384 | 2031617 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx | File | 1388 | 1180063 | |
| 704 | Event | 1392 | 2031619 | ||
| 704 | ALPC Port | 1396 | 2031617 | ||
| 704 | Event | 1400 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx | File | 1404 | 1180063 | |
| 704 | Event | 1408 | 2031619 | ||
| 704 | EtwRegistration | 1412 | 2052 | ||
| 704 | EtwRegistration | 1416 | 2052 | ||
| 704 | Event | 1420 | 2031619 | ||
| 704 | Event | 1424 | 2031619 | ||
| 704 | TID 1952 PID 704 | Thread | 1428 | 2097151 | |
| 704 | ALPC Port | 1432 | 2031617 | ||
| 704 | Event | 1436 | 2031619 | ||
| 704 | TID 1952 PID 704 | Thread | 1440 | 2097151 | |
| 704 | Event | 1444 | 2031619 | ||
| 704 | ALPC Port | 1448 | 2031617 | ||
| 704 | Event | 1452 | 1048579 | ||
| 704 | ALPC Port | 1456 | 2031617 | ||
| 704 | Event | 1460 | 2031619 | ||
| 704 | EtwRegistration | 1464 | 2052 | ||
| 704 | Token | 1468 | 14 | ||
| 704 | EtwRegistration | 1472 | 2052 | ||
| 704 | Event | 1476 | 2031619 | ||
| 704 | TID 2864 PID 704 | Thread | 1480 | 2097151 | |
| 704 | TID 1952 PID 704 | Thread | 1484 | 2122 | |
| 704 | Semaphore | 1488 | 2031619 | ||
| 704 | TID 1952 PID 704 | Thread | 1492 | 2122 | |
| 704 | Semaphore | 1496 | 2031619 | ||
| 704 | Event | 1500 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 1504 | 1179785 | |
| 704 | Semaphore | 1508 | 2031619 | ||
| 704 | Event | 1512 | 2031619 | ||
| 704 | Event | 1516 | 2031619 | ||
| 704 | Event | 1524 | 2031619 | ||
| 704 | HomeGroupStateEvent_{2268D6CD-185C-4760-8B0F-0DD48F3363AE} | Event | 1528 | 2031619 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-Scheduled%4Operational.evtx | File | 1532 | 1180063 | |
| 704 | Event | 1536 | 2031619 | ||
| 704 | Token | 1540 | 14 | ||
| 704 | Event | 1544 | 2031619 | ||
| 704 | TID 492 PID 704 | Thread | 1548 | 2097151 | |
| 704 | Event | 1552 | 2031619 | ||
| 704 | Event | 1556 | 2031619 | ||
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-HomeGroup Provider Service%4Operational.evtx | File | 1560 | 1180063 | |
| 704 | Event | 1564 | 2031619 | ||
| 704 | Event | 1568 | 1048579 | ||
| 704 | Mutant | 1572 | 2031617 | ||
| 704 | TID 1512 PID 704 | Thread | 1576 | 2097151 | |
| 704 | Event | 1580 | 2031619 | ||
| 704 | Semaphore | 1584 | 2031619 | ||
| 704 | Event | 1588 | 2031619 | ||
| 704 | Event | 1592 | 2031619 | ||
| 704 | TID 2668 PID 704 | Thread | 1596 | 2122 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx | File | 1600 | 1180063 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx | File | 1604 | 1180063 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Inventory.evtx | File | 1608 | 1180063 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Problem-Steps-Recorder.evtx | File | 1612 | 1180063 | |
| 704 | \Device\HarddiskVolume2\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx | File | 1616 | 1180063 | |
| 704 | Event | 1620 | 2031619 | ||
| 704 | ALPC Port | 1624 | 2031617 | ||
| 704 | ALPC Port | 1628 | 2031617 | ||
| 704 | ALPC Port | 1632 | 2031617 | ||
| 704 | ALPC Port | 1636 | 2031617 | ||
| 704 | Event | 1644 | 2031619 | ||
| 704 | TID 3032 PID 704 | Thread | 1648 | 2097151 | |
| 704 | ALPC Port | 1664 | 2031617 | ||
| 704 | Event | 1680 | 2031619 | ||
| 704 | Semaphore | 1684 | 2031619 | ||
| 704 | Event | 1688 | 2031619 | ||
| 704 | Event | 1692 | 2031619 | ||
| 704 | TID 2864 PID 704 | Thread | 1700 | 2097151 | |
| 788 | KnownDlls | Directory | 4 | 3 | |
| 788 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 788 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 788 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 788 | ALPC Port | 20 | 2031617 | ||
| 788 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 788 | EtwRegistration | 28 | 2052 | ||
| 788 | EtwRegistration | 32 | 2052 | ||
| 788 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 788 | Event | 40 | 35586051 | ||
| 788 | Service-0x0-3e7$ | WindowStation | 44 | 983406 | |
| 788 | Default | Desktop | 48 | 983247 | |
| 788 | Service-0x0-3e7$ | WindowStation | 52 | 983406 | |
| 788 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 56 | 1179785 | |
| 788 | Event | 60 | 2031619 | ||
| 788 | EtwRegistration | 64 | 2052 | ||
| 788 | Event | 68 | 2031619 | ||
| 788 | Event | 72 | 2031619 | ||
| 788 | Event | 76 | 2031619 | ||
| 788 | Event | 80 | 2031619 | ||
| 788 | Event | 84 | 2031619 | ||
| 788 | BaseNamedObjects | Directory | 88 | 15 | |
| 788 | Event | 92 | 2031619 | ||
| 788 | Event | 96 | 2031619 | ||
| 788 | \Device\KsecDD | File | 100 | 1048577 | |
| 788 | Event | 104 | 2031619 | ||
| 788 | Event | 108 | 2031619 | ||
| 788 | Event | 112 | 2031619 | ||
| 788 | EtwRegistration | 116 | 2052 | ||
| 788 | EtwRegistration | 120 | 2052 | ||
| 788 | Event | 124 | 2031619 | ||
| 788 | TID 792 PID 788 | Thread | 128 | 2097151 | |
| 788 | KeyedEvent | 136 | 983043 | ||
| 788 | IoCompletion | 140 | 2031619 | ||
| 788 | TpWorkerFactory | 144 | 983295 | ||
| 788 | Timer | 148 | 1048578 | ||
| 788 | Timer | 152 | 2031619 | ||
| 788 | TID 796 PID 788 | Thread | 156 | 2097151 | |
| 788 | TID 796 PID 788 | Thread | 160 | 2097151 | |
| 788 | Timer | 164 | 1048578 | ||
| 788 | ALPC Port | 168 | 2031617 | ||
| 788 | Event | 172 | 2031619 | ||
| 788 | Mutant | 176 | 2031617 | ||
| 788 | Event | 180 | 2031619 | ||
| 788 | Token | 184 | 72 | ||
| 788 | ALPC Port | 188 | 2031617 | ||
| 788 | Event | 192 | 2031619 | ||
| 788 | Event | 196 | 2031619 | ||
| 788 | TID 804 PID 788 | Thread | 200 | 2097151 | |
| 788 | Event | 204 | 2031619 | ||
| 788 | USER\.DEFAULT\CONTROL PANEL\INTERNATIONAL | Key | 208 | 131097 | |
| 788 | Event | 212 | 2031619 | ||
| 788 | EtwRegistration | 216 | 2052 | ||
| 788 | EtwRegistration | 220 | 2052 | ||
| 788 | EtwRegistration | 224 | 2052 | ||
| 788 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 228 | 1179785 | |
| 788 | Event | 232 | 2031619 | ||
| 788 | Mutant | 236 | 2031617 | ||
| 788 | Event | 240 | 2031619 | ||
| 788 | Mutant | 244 | 2031617 | ||
| 788 | EtwRegistration | 248 | 2052 | ||
| 788 | EtwRegistration | 252 | 2052 | ||
| 788 | EtwRegistration | 256 | 2052 | ||
| 788 | EtwRegistration | 260 | 2052 | ||
| 788 | EtwRegistration | 264 | 2052 | ||
| 788 | EtwRegistration | 268 | 2052 | ||
| 788 | Event | 272 | 2031619 | ||
| 788 | EtwRegistration | 276 | 2052 | ||
| 788 | Event | 280 | 2031619 | ||
| 788 | __ComCatalogCache__ | Section | 284 | 4 | |
| 788 | MACHINE\SOFTWARE\CLASSES | Key | 288 | 983103 | |
| 788 | __ComCatalogCache__ | Section | 292 | 4 | |
| 788 | MaximumCommitCondition | Event | 296 | 1048577 | |
| 788 | Event | 300 | 2031619 | ||
| 788 | Mutant | 304 | 2031617 | ||
| 788 | Event | 308 | 2031619 | ||
| 788 | Mutant | 312 | 2031617 | ||
| 788 | IoCompletion | 316 | 2031619 | ||
| 788 | TID 864 PID 788 | Thread | 320 | 2097151 | |
| 788 | ALPC Port | 324 | 2031617 | ||
| 788 | ALPC Port | 328 | 2031617 | ||
| 788 | EtwRegistration | 332 | 2052 | ||
| 788 | Event | 336 | 2031619 | ||
| 788 | Mutant | 340 | 2031617 | ||
| 788 | Mutant | 344 | 2031617 | ||
| 788 | EtwRegistration | 348 | 2052 | ||
| 788 | EtwRegistration | 352 | 2052 | ||
| 788 | \Device\00000044\eheadphonetopo | File | 360 | 1180063 | |
| 788 | TID 868 PID 788 | Thread | 364 | 2097151 | |
| 788 | Event | 368 | 35586051 | ||
| 788 | Event | 372 | 2031619 | ||
| 788 | TID 868 PID 788 | Thread | 376 | 2097151 | |
| 788 | Event | 380 | 2031619 | ||
| 788 | EtwRegistration | 384 | 2052 | ||
| 788 | \Device\00000044\espeakertopo | File | 388 | 1180063 | |
| 788 | EtwRegistration | 392 | 2052 | ||
| 788 | IoCompletion | 396 | 2031619 | ||
| 788 | Event | 400 | 2031619 | ||
| 788 | \Device\00000044\emicintopo | File | 404 | 1180063 | |
| 788 | \Device\00000044\ecdintopo | File | 408 | 1180063 | |
| 788 | EtwRegistration | 412 | 2052 | ||
| 788 | Event | 416 | 2031619 | ||
| 788 | EtwRegistration | 420 | 2052 | ||
| 788 | EtwRegistration | 424 | 2052 | ||
| 788 | TpWorkerFactory | 428 | 983295 | ||
| 788 | Event | 432 | 2031619 | ||
| 788 | Event | 436 | 2031619 | ||
| 788 | Event | 440 | 2031619 | ||
| 788 | Event | 444 | 2031619 | ||
| 788 | Event | 448 | 2031619 | ||
| 788 | Event | 452 | 2031619 | ||
| 788 | Event | 456 | 2031619 | ||
| 788 | Event | 460 | 2031619 | ||
| 788 | Event | 464 | 2031619 | ||
| 788 | Event | 468 | 2031619 | ||
| 788 | ALPC Port | 472 | 2031617 | ||
| 788 | Event | 476 | 2031619 | ||
| 788 | UxSmsApiPort | ALPC Port | 484 | 2031617 | |
| 788 | TID 1024 PID 788 | Thread | 488 | 2097151 | |
| 788 | EtwRegistration | 492 | 2052 | ||
| 788 | TermSrvReadyEvent | Event | 496 | 1048576 | |
| 788 | Event | 504 | 2031619 | ||
| 788 | TID 1264 PID 788 | Thread | 508 | 2097151 | |
| 788 | EtwRegistration | 512 | 2052 | ||
| 788 | Timer | 516 | 2031619 | ||
| 788 | TID 1264 PID 788 | Thread | 520 | 1051744 | |
| 788 | Event | 524 | 2031619 | ||
| 788 | EtwRegistration | 528 | 2052 | ||
| 788 | SuperfetchScenarioNotify | Event | 532 | 1179649 | |
| 788 | Event | 536 | 2031619 | ||
| 788 | Semaphore | 540 | 1048579 | ||
| 788 | Semaphore | 544 | 1048579 | ||
| 788 | Semaphore | 548 | 1048579 | ||
| 788 | Semaphore | 552 | 1048579 | ||
| 788 | Semaphore | 556 | 1048579 | ||
| 788 | Semaphore | 560 | 1048579 | ||
| 788 | Semaphore | 564 | 1048579 | ||
| 788 | Semaphore | 568 | 1048579 | ||
| 788 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SUPERFETCH | Key | 572 | 983103 | |
| 788 | Event | 576 | 2031619 | ||
| 788 | Timer | 580 | 2031619 | ||
| 788 | Event | 584 | 2031619 | ||
| 788 | EtwRegistration | 588 | 2052 | ||
| 788 | Event | 592 | 2031619 | ||
| 788 | Event | 596 | 2031619 | ||
| 788 | \Device\HarddiskVolume2 | File | 604 | 1048960 | |
| 788 | \Device\HarddiskVolume2\$Extend\$ObjId | File | 608 | 1048705 | |
| 788 | Event | 612 | 2031619 | ||
| 788 | TRKWKS_PORT | ALPC Port | 616 | 2031617 | |
| 788 | TRKWKS_EVENT | Event | 620 | 2031619 | |
| 788 | Event | 624 | 2031619 | ||
| 788 | \Device\HarddiskVolume2\System Volume Information\tracking.log | File | 628 | 1245599 | |
| 788 | \Device\NamedPipe\trkwks | File | 632 | 1180063 | |
| 788 | \Device\NamedPipe\trkwks | File | 636 | 1180063 | |
| 788 | \Device\NamedPipe\trkwks | File | 640 | 1180063 | |
| 788 | trkwks | ALPC Port | 644 | 2031617 | |
| 788 | EtwRegistration | 648 | 2052 | ||
| 788 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER\MEMORY MANAGEMENT\PREFETCHPARAMETERS | Key | 652 | 983103 | |
| 788 | Event | 664 | 2031619 | ||
| 788 | TID 880 PID 788 | Thread | 668 | 2097151 | |
| 788 | Event | 672 | 2031619 | ||
| 788 | TID 1024 PID 788 | Thread | 680 | 2097151 | |
| 788 | EtwRegistration | 688 | 2052 | ||
| 788 | EtwRegistration | 692 | 2052 | ||
| 788 | EtwRegistration | 696 | 2052 | ||
| 788 | EtwRegistration | 700 | 2052 | ||
| 788 | ALPC Port | 712 | 2031617 | ||
| 788 | EtwRegistration | 720 | 2052 | ||
| 788 | EtwRegistration | 728 | 2052 | ||
| 788 | EtwRegistration | 732 | 2052 | ||
| 788 | Event | 736 | 2031619 | ||
| 788 | Mutant | 740 | 2031617 | ||
| 788 | Event | 744 | 2031619 | ||
| 788 | Mutant | 748 | 2031617 | ||
| 788 | Semaphore | 752 | 1048579 | ||
| 788 | ALPC Port | 756 | 2031617 | ||
| 788 | Event | 760 | 2031619 | ||
| 788 | ALPC Port | 764 | 2031617 | ||
| 788 | EtwRegistration | 780 | 2052 | ||
| 788 | EtwRegistration | 784 | 2052 | ||
| 788 | Event | 796 | 2031619 | ||
| 788 | Mutant | 800 | 2031617 | ||
| 788 | Mutant | 804 | 2031617 | ||
| 788 | Event | 808 | 2031619 | ||
| 788 | Event | 812 | 2031619 | ||
| 788 | dwm.exe(1448) | Process | 820 | 2097151 | |
| 788 | Semaphore | 824 | 1048579 | ||
| 788 | Event | 828 | 2031619 | ||
| 788 | EtwRegistration | 832 | 2052 | ||
| 788 | USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 844 | 8 | |
| 788 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 848 | 8 | |
| 788 | Event | 852 | 2031619 | ||
| 788 | OLE1E4C84791C254EDEA77066258FD9 | ALPC Port | 856 | 2031617 | |
| 788 | ALPC Port | 864 | 2031617 | ||
| 788 | Token | 868 | 14 | ||
| 788 | ALPC Port | 872 | 2031617 | ||
| 788 | Event | 876 | 2031619 | ||
| 788 | Event | 880 | 2031619 | ||
| 788 | Event | 884 | 2031619 | ||
| 788 | RasPbFile | Mutant | 888 | 2031617 | |
| 788 | Event | 892 | 2031619 | ||
| 788 | Event | 896 | 2031619 | ||
| 788 | Event | 900 | 35586051 | ||
| 788 | \Device\HarddiskVolume2\Windows\System32\en-US\rasdlg.dll.mui | File | 904 | 1179785 | |
| 788 | RasPbFile | Mutant | 908 | 1048576 | |
| 788 | Event | 912 | 2031619 | ||
| 788 | Event | 916 | 2031619 | ||
| 788 | Event | 920 | 2031619 | ||
| 788 | Event | 924 | 2031619 | ||
| 788 | Event | 928 | 2031619 | ||
| 788 | MACHINE\SOFTWARE\MICROSOFT\TRACING\SVCHOST_RASDLG | Key | 932 | 131097 | |
| 788 | IoCompletion | 936 | 2031619 | ||
| 788 | PCA_DRIVER_INSTALL | Event | 940 | 1048576 | |
| 788 | Timer | 944 | 2031619 | ||
| 788 | Event | 948 | 2031619 | ||
| 788 | ALPC Port | 952 | 2031617 | ||
| 788 | TID 804 PID 788 | Thread | 956 | 2097151 | |
| 788 | Token | 960 | 14 | ||
| 788 | windows_shell_global_counters | Section | 964 | 6 | |
| 788 | \Device\WMIDataDevice | File | 968 | 1180063 | |
| 788 | \Device\WMIDataDevice | File | 972 | 1180063 | |
| 788 | Event | 976 | 2031619 | ||
| 788 | svchost.exe(788) | Process | 980 | 2097151 | |
| 788 | Event | 984 | 2031619 | ||
| 788 | WmiGuid | 988 | 4 | ||
| 788 | Event | 992 | 2031619 | ||
| 788 | Event | 996 | 2031619 | ||
| 788 | TID 2320 PID 788 | Thread | 1000 | 2097151 | |
| 788 | WmiGuid | 1004 | 4 | ||
| 788 | Event | 1008 | 2031619 | ||
| 788 | ALPC Port | 1012 | 2031617 | ||
| 788 | Event | 1016 | 2031619 | ||
| 788 | Event | 1020 | 2031619 | ||
| 788 | Token | 1024 | 14 | ||
| 788 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NETWORK\CONNECTIONS | Key | 1028 | 131097 | |
| 788 | Token | 1032 | 14 | ||
| 788 | \Device\FileInfo | File | 1036 | 1179785 | |
| 788 | Token | 1040 | 14 | ||
| 788 | Event | 1044 | 2031619 | ||
| 788 | Token | 1048 | 14 | ||
| 788 | Event | 1052 | 2031619 | ||
| 788 | MACHINE\SYSTEM\CONTROLSET001\ENUM | Key | 1056 | 983103 | |
| 788 | MACHINE\SYSTEM\CONTROLSET001\SERVICES | Key | 1060 | 983103 | |
| 788 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS | Key | 1064 | 983103 | |
| 788 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES | Key | 1068 | 983103 | |
| 788 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CODEVICEINSTALLERS | Key | 1072 | 983103 | |
| 788 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PERHWIDSTORAGE | Key | 1076 | 983103 | |
| 788 | TpWorkerFactory | 1080 | 983295 | ||
| 788 | IoCompletion | 1084 | 2031619 | ||
| 788 | Event | 1088 | 2031619 | ||
| 788 | EtwRegistration | 1096 | 2052 | ||
| 788 | d3b1bbc7-c020-4056-9ded-7c6f40b5a2fc | Mutant | 1100 | 2031617 | |
| 788 | EtwRegistration | 1104 | 2052 | ||
| 788 | EtwRegistration | 1108 | 2052 | ||
| 788 | Mutant | 1112 | 2031617 | ||
| 788 | EtwRegistration | 1116 | 2052 | ||
| 788 | Event | 1120 | 2031619 | ||
| 788 | ALPC Port | 1124 | 2031617 | ||
| 788 | Event | 1132 | 2031619 | ||
| 788 | EtwRegistration | 1136 | 2052 | ||
| 788 | EtwRegistration | 1140 | 2052 | ||
| 788 | \Device\HarddiskVolume2\Windows\System32\en-US\sysmain.dll.mui | File | 1144 | 1179785 | |
| 788 | EtwRegistration | 1148 | 2052 | ||
| 788 | Event | 1152 | 2031619 | ||
| 788 | Event | 1156 | 2031619 | ||
| 788 | EtwRegistration | 1160 | 2052 | ||
| 788 | EtwRegistration | 1164 | 2052 | ||
| 788 | {A2DA10D8-7E2D-4d8f-86B7-4D1C99659749}_PCAEVENT | Event | 1168 | 2031619 | |
| 788 | MACHINE\SYSTEM\CONTROLSET001\SERVICES | Key | 1172 | 16 | |
| 788 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\EMDMGMT | Key | 1176 | 983103 | |
| 788 | EtwRegistration | 1180 | 2052 | ||
| 788 | Event | 1184 | 2031619 | ||
| 788 | Event | 1188 | 2031619 | ||
| 788 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PREFETCHER | Key | 1192 | 983103 | |
| 788 | Event | 1196 | 2031619 | ||
| 788 | SuperfetchTracesReady | Event | 1200 | 1179649 | |
| 788 | Event | 1204 | 2031619 | ||
| 788 | Event | 1208 | 2031619 | ||
| 788 | SuperfetchParametersChanged | Event | 1212 | 1179649 | |
| 788 | Event | 1216 | 2031619 | ||
| 788 | Event | 1220 | 2031619 | ||
| 788 | PCA_DRIVER_INSTALL | Event | 1224 | 2031619 | |
| 788 | SuperfetchParametersChanged | Event | 1228 | 1179649 | |
| 788 | TID 1440 PID 788 | Thread | 1232 | 2097151 | |
| 788 | PrefetchTracesReady | Event | 1236 | 1179649 | |
| 788 | Event | 1240 | 2031619 | ||
| 788 | Event | 1244 | 2031619 | ||
| 788 | Event | 1248 | 2031619 | ||
| 788 | ALPC Port | 1252 | 2031617 | ||
| 788 | Token | 1256 | 14 | ||
| 788 | Event | 1260 | 2031619 | ||
| 788 | Event | 1264 | 2031619 | ||
| 788 | Event | 1268 | 2031619 | ||
| 788 | Token | 1272 | 14 | ||
| 788 | TID 2036 PID 788 | Thread | 1276 | 2097151 | |
| 788 | Event | 1284 | 2031619 | ||
| 788 | Token | 1288 | 14 | ||
| 788 | TID 608 PID 788 | Thread | 1292 | 2097151 | |
| 788 | BaseNamedObjects | Directory | 1296 | 15 | |
| 788 | Event | 1300 | 2031619 | ||
| 788 | Event | 1304 | 2031619 | ||
| 816 | KnownDlls | Directory | 4 | 3 | |
| 816 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 816 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 816 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 816 | ALPC Port | 20 | 2031617 | ||
| 816 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 816 | EtwRegistration | 28 | 2052 | ||
| 816 | EtwRegistration | 32 | 2052 | ||
| 816 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 816 | Event | 40 | 35586051 | ||
| 816 | Service-0x0-3e7$ | WindowStation | 44 | 983406 | |
| 816 | Default | Desktop | 48 | 983247 | |
| 816 | Service-0x0-3e7$ | WindowStation | 52 | 983406 | |
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 56 | 1179785 | |
| 816 | Event | 60 | 2031619 | ||
| 816 | EtwRegistration | 64 | 2052 | ||
| 816 | Event | 68 | 2031619 | ||
| 816 | Event | 72 | 2031619 | ||
| 816 | Event | 76 | 2031619 | ||
| 816 | Event | 80 | 2031619 | ||
| 816 | Event | 84 | 2031619 | ||
| 816 | BaseNamedObjects | Directory | 88 | 15 | |
| 816 | Event | 92 | 2031619 | ||
| 816 | Event | 96 | 2031619 | ||
| 816 | \Device\KsecDD | File | 100 | 1048577 | |
| 816 | Event | 104 | 2031619 | ||
| 816 | Event | 108 | 2031619 | ||
| 816 | Event | 112 | 2031619 | ||
| 816 | EtwRegistration | 116 | 2052 | ||
| 816 | EtwRegistration | 120 | 2052 | ||
| 816 | Event | 124 | 2031619 | ||
| 816 | TID 820 PID 816 | Thread | 128 | 2097151 | |
| 816 | ALPC Port | 132 | 2031617 | ||
| 816 | KeyedEvent | 136 | 983043 | ||
| 816 | IoCompletion | 140 | 2031619 | ||
| 816 | TpWorkerFactory | 144 | 983295 | ||
| 816 | Timer | 148 | 1048578 | ||
| 816 | Timer | 152 | 2031619 | ||
| 816 | TID 824 PID 816 | Thread | 156 | 2097151 | |
| 816 | TID 824 PID 816 | Thread | 160 | 2097151 | |
| 816 | Timer | 164 | 1048578 | ||
| 816 | ALPC Port | 168 | 2031617 | ||
| 816 | Event | 172 | 2031619 | ||
| 816 | Mutant | 176 | 2031617 | ||
| 816 | Event | 180 | 2031619 | ||
| 816 | Token | 184 | 72 | ||
| 816 | ALPC Port | 188 | 2031617 | ||
| 816 | Event | 192 | 2031619 | ||
| 816 | Event | 196 | 2031619 | ||
| 816 | Event | 200 | 2031619 | ||
| 816 | Event | 204 | 2031619 | ||
| 816 | USER\.DEFAULT\CONTROL PANEL\INTERNATIONAL | Key | 208 | 131097 | |
| 816 | Event | 212 | 2031619 | ||
| 816 | TID 836 PID 816 | Thread | 216 | 2097151 | |
| 816 | EtwRegistration | 220 | 2052 | ||
| 816 | MmcssApiPort | ALPC Port | 224 | 2031617 | |
| 816 | Token | 228 | 44 | ||
| 816 | Event | 232 | 2031619 | ||
| 816 | Directory | 236 | 131075 | ||
| 816 | MmcssStatusEvent | Event | 240 | 2031619 | |
| 816 | MmcssStatusEvent | Event | 244 | 1048576 | |
| 816 | Timer | 248 | 2031619 | ||
| 816 | TID 840 PID 816 | Thread | 252 | 2097151 | |
| 816 | TID 836 PID 816 | Thread | 256 | 1051760 | |
| 816 | ALPC Port | 260 | 2031617 | ||
| 816 | svchost.exe(816) | Process | 264 | 2097151 | |
| 816 | EtwRegistration | 268 | 2052 | ||
| 816 | Event | 272 | 2031619 | ||
| 816 | EtwRegistration | 276 | 2052 | ||
| 816 | Semaphore | 280 | 1048579 | ||
| 816 | Semaphore | 284 | 1048579 | ||
| 816 | EtwRegistration | 288 | 2052 | ||
| 816 | EtwRegistration | 292 | 2052 | ||
| 816 | Event | 296 | 35586051 | ||
| 816 | EtwRegistration | 300 | 2052 | ||
| 816 | EtwRegistration | 304 | 2052 | ||
| 816 | Event | 308 | 2031619 | ||
| 816 | Event | 312 | 2031619 | ||
| 816 | LRPC-4138d0b277da1ecdf3 | ALPC Port | 316 | 2031617 | |
| 816 | Event | 320 | 2031619 | ||
| 816 | EtwRegistration | 324 | 2052 | ||
| 816 | EtwRegistration | 328 | 2052 | ||
| 816 | Event | 332 | 2031619 | ||
| 816 | Event | 336 | 2031619 | ||
| 816 | Event | 340 | 2031619 | ||
| 816 | Timer | 344 | 2031619 | ||
| 816 | Event | 348 | 2031619 | ||
| 816 | Event | 352 | 2031619 | ||
| 816 | EtwRegistration | 356 | 2052 | ||
| 816 | Event | 360 | 2031619 | ||
| 816 | EtwRegistration | 364 | 2052 | ||
| 816 | EtwRegistration | 368 | 2052 | ||
| 816 | EtwRegistration | 372 | 2052 | ||
| 816 | EtwRegistration | 376 | 2052 | ||
| 816 | EtwRegistration | 380 | 2052 | ||
| 816 | TID 964 PID 816 | Thread | 384 | 2097151 | |
| 816 | Event | 388 | 2031619 | ||
| 816 | Event | 392 | 2031619 | ||
| 816 | IUserProfile2 | ALPC Port | 396 | 2031617 | |
| 816 | Event | 400 | 2031619 | ||
| 816 | Event | 404 | 2031619 | ||
| 816 | __ComCatalogCache__ | Section | 408 | 4 | |
| 816 | OLE0AADD61114AF4050A4F896448326 | ALPC Port | 412 | 2031617 | |
| 816 | MACHINE\SOFTWARE\CLASSES | Key | 416 | 983103 | |
| 816 | MaximumCommitCondition | Event | 420 | 1048577 | |
| 816 | Event | 424 | 2031619 | ||
| 816 | TID 968 PID 816 | Thread | 428 | 2097151 | |
| 816 | EtwRegistration | 432 | 2052 | ||
| 816 | ThemeApiPort | ALPC Port | 436 | 2031617 | |
| 816 | Event | 440 | 2031619 | ||
| 816 | Event | 444 | 2031619 | ||
| 816 | Event | 448 | 2031619 | ||
| 816 | Event | 452 | 2031619 | ||
| 816 | EtwRegistration | 456 | 2052 | ||
| 816 | TermSrvReadyEvent | Event | 460 | 1048576 | |
| 816 | Event | 464 | 2031619 | ||
| 816 | ALPC Port | 468 | 2031617 | ||
| 816 | Event | 472 | 2031619 | ||
| 816 | Event | 476 | 2031619 | ||
| 816 | Event | 480 | 2031619 | ||
| 816 | Event | 484 | 2031619 | ||
| 816 | ALPC Port | 488 | 2031617 | ||
| 816 | Event | 492 | 2031619 | ||
| 816 | Event | 496 | 2031619 | ||
| 816 | ALPC Port | 500 | 2031617 | ||
| 816 | ALPC Port | 504 | 2031617 | ||
| 816 | ALPC Port | 508 | 2031617 | ||
| 816 | EtwRegistration | 512 | 2052 | ||
| 816 | Event | 516 | 2031619 | ||
| 816 | EtwRegistration | 520 | 2052 | ||
| 816 | Event | 524 | 2031619 | ||
| 816 | SENS Information Cache | Section | 528 | 983047 | |
| 816 | SENS Started Event | Event | 532 | 2031619 | |
| 816 | KeyedEvent | 536 | 983043 | ||
| 816 | Event | 540 | 2031619 | ||
| 816 | senssvc | ALPC Port | 544 | 2031617 | |
| 816 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 548 | 983103 | |
| 816 | Event | 552 | 2031619 | ||
| 816 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 556 | 983103 | |
| 816 | {9BFCA3D1-FD5E-4E75-9573-3E971E44BDDA}ShellHWDetection | Event | 560 | 2031619 | |
| 816 | Event | 564 | 2031619 | ||
| 816 | TID 1048 PID 816 | Thread | 568 | 2097151 | |
| 816 | Event | 572 | 2031619 | ||
| 816 | {9BFCA3D1-FD5E-4E75-9573-3E971E44BDDA}ShellHWDetection | Event | 576 | 1048576 | |
| 816 | Event | 580 | 2031619 | ||
| 816 | EtwRegistration | 584 | 2052 | ||
| 816 | EtwRegistration | 588 | 2052 | ||
| 816 | ALPC Port | 592 | 2031617 | ||
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 596 | 1179785 | |
| 816 | Event | 600 | 2031619 | ||
| 816 | Mutant | 604 | 2031617 | ||
| 816 | Event | 608 | 2031619 | ||
| 816 | Mutant | 612 | 2031617 | ||
| 816 | EtwRegistration | 616 | 2052 | ||
| 816 | WiaServiceStarted | Event | 620 | 2031619 | |
| 816 | Event | 624 | 1048579 | ||
| 816 | EtwRegistration | 628 | 2052 | ||
| 816 | Event | 632 | 2031619 | ||
| 816 | Event | 636 | 2031619 | ||
| 816 | Mutant | 640 | 2031617 | ||
| 816 | Mutant | 644 | 2031617 | ||
| 816 | Event | 648 | 2031619 | ||
| 816 | Mutant | 652 | 2031617 | ||
| 816 | Event | 656 | 2031619 | ||
| 816 | Event | 660 | 2031619 | ||
| 816 | EtwRegistration | 664 | 2052 | ||
| 816 | EtwRegistration | 668 | 2052 | ||
| 816 | EtwRegistration | 672 | 2052 | ||
| 816 | Semaphore | 676 | 1048579 | ||
| 816 | Semaphore | 680 | 1048579 | ||
| 816 | Semaphore | 684 | 1048579 | ||
| 816 | Semaphore | 688 | 1048579 | ||
| 816 | Semaphore | 692 | 1048579 | ||
| 816 | Semaphore | 696 | 1048579 | ||
| 816 | EtwRegistration | 700 | 2052 | ||
| 816 | Semaphore | 704 | 1048579 | ||
| 816 | Semaphore | 708 | 1048579 | ||
| 816 | EtwRegistration | 712 | 2052 | ||
| 816 | TID 1052 PID 816 | Thread | 716 | 2097151 | |
| 816 | EtwRegistration | 720 | 2052 | ||
| 816 | ALPC Port | 724 | 2031617 | ||
| 816 | Timer | 728 | 2031619 | ||
| 816 | Event | 732 | 2031619 | ||
| 816 | Event | 736 | 2031619 | ||
| 816 | Event | 740 | 2031619 | ||
| 816 | Event | 744 | 2031619 | ||
| 816 | Event | 748 | 2031619 | ||
| 816 | \Device\WMIDataDevice | File | 752 | 1180063 | |
| 816 | Event | 756 | 2031619 | ||
| 816 | WmiGuid | 760 | 1 | ||
| 816 | \Device\PcwDrv | File | 764 | 1 | |
| 816 | PcwObject | 768 | 983043 | ||
| 816 | Event | 772 | 35586051 | ||
| 816 | ALPC Port | 776 | 2031617 | ||
| 816 | Event | 780 | 2031619 | ||
| 816 | Event | 784 | 2031619 | ||
| 816 | Event | 788 | 2031619 | ||
| 816 | Event | 792 | 2031619 | ||
| 816 | Event | 796 | 2031619 | ||
| 816 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\CONFIGURATION | Key | 800 | 131097 | |
| 816 | IoCompletion | 804 | 2031619 | ||
| 816 | TpWorkerFactory | 808 | 983295 | ||
| 816 | Event | 812 | 2031619 | ||
| 816 | EtwRegistration | 816 | 2052 | ||
| 816 | Token | 820 | 2 | ||
| 816 | Event | 824 | 2031619 | ||
| 816 | TID 1060 PID 816 | Thread | 828 | 2097151 | |
| 816 | Event | 832 | 2031619 | ||
| 816 | TID 976 PID 816 | Thread | 836 | 2097151 | |
| 816 | EtwRegistration | 840 | 2052 | ||
| 816 | Event | 844 | 2031619 | ||
| 816 | Event | 848 | 2031619 | ||
| 816 | Mutant | 852 | 2031617 | ||
| 816 | Token | 856 | 2 | ||
| 816 | EtwRegistration | 860 | 2052 | ||
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\taskcomp.dll.mui | File | 864 | 1179785 | |
| 816 | \Device\HarddiskVolume2\Windows\Tasks\SCHEDLGU.TXT | File | 868 | 1180063 | |
| 816 | EtwRegistration | 872 | 2052 | ||
| 816 | \Device\Nsi | File | 876 | 1048704 | |
| 816 | Event | 880 | 1048579 | ||
| 816 | EtwRegistration | 884 | 2052 | ||
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\schedsvc.dll.mui | File | 888 | 1179785 | |
| 816 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 892 | 131097 | |
| 816 | ALPC Port | 896 | 2031617 | ||
| 816 | TID 1076 PID 816 | Thread | 900 | 2097151 | |
| 816 | winlogon.exe(376) | Process | 904 | 5240 | |
| 816 | ALPC Port | 908 | 2031617 | ||
| 816 | winlogon.exe(376) | Process | 912 | 5240 | |
| 816 | winlogon.exe(376) | Process | 916 | 1048576 | |
| 816 | Event | 920 | 2031619 | ||
| 816 | Token | 924 | 14 | ||
| 816 | Event | 928 | 2031619 | ||
| 816 | Event | 932 | 2031619 | ||
| 816 | Event | 936 | 2031619 | ||
| 816 | Event | 940 | 2031619 | ||
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\gpsvc.dll.mui | File | 944 | 1179785 | |
| 816 | winlogon.exe(376) | Process | 948 | 5242 | |
| 816 | TID 1080 PID 816 | Thread | 952 | 2097151 | |
| 816 | TID 1228 PID 816 | Thread | 956 | 2097151 | |
| 816 | IoCompletion | 960 | 2031619 | ||
| 816 | ThemeLoadedEvent | Event | 964 | 2031619 | |
| 816 | ALPC Port | 968 | 2031617 | ||
| 816 | Event | 972 | 2031619 | ||
| 816 | Event | 976 | 2031619 | ||
| 816 | Section | 980 | 983071 | ||
| 816 | Event | 984 | 2031619 | ||
| 816 | Timer | 988 | 2031619 | ||
| 816 | Timer | 992 | 2031619 | ||
| 816 | \Device\HarddiskVolume2 | File | 996 | 1179785 | |
| 816 | \Device\NamedPipe\atsvc | File | 1000 | 1180063 | |
| 816 | \Device\HarddiskVolume2\Windows\Tasks | File | 1004 | 1048705 | |
| 816 | \Device\NamedPipe\atsvc | File | 1008 | 1180063 | |
| 816 | \Device\NamedPipe\atsvc | File | 1012 | 1180063 | |
| 816 | TID 1088 PID 816 | Thread | 1016 | 2097151 | |
| 816 | Semaphore | 1020 | 1048579 | ||
| 816 | ALPC Port | 1024 | 2031617 | ||
| 816 | Semaphore | 1028 | 1048579 | ||
| 816 | Semaphore | 1032 | 1048579 | ||
| 816 | Semaphore | 1036 | 1048579 | ||
| 816 | Semaphore | 1040 | 1048579 | ||
| 816 | Semaphore | 1044 | 1048579 | ||
| 816 | Semaphore | 1048 | 1048579 | ||
| 816 | Semaphore | 1052 | 1048579 | ||
| 816 | Event | 1056 | 2031619 | ||
| 816 | TID 1052 PID 816 | Thread | 1060 | 2097151 | |
| 816 | \Device\Afd\Endpoint | File | 1064 | 1442207 | |
| 816 | Event | 1068 | 2031619 | ||
| 816 | \Device\Afd\Endpoint | File | 1072 | 1442207 | |
| 816 | \Device\NamedPipe\Winsock2\CatalogChangeListener-330-0 | File | 1076 | 1441929 | |
| 816 | Event | 1080 | 2031619 | ||
| 816 | \Device\Afd\Endpoint | File | 1084 | 1442207 | |
| 816 | \Device\Afd\Endpoint | File | 1088 | 1442207 | |
| 816 | Event | 1092 | 2031619 | ||
| 816 | Event | 1096 | 2031619 | ||
| 816 | Event | 1100 | 2031619 | ||
| 816 | ALPC Port | 1104 | 2031617 | ||
| 816 | Event | 1108 | 2031619 | ||
| 816 | Event | 1112 | 2031619 | ||
| 816 | Event | 1116 | 2031619 | ||
| 816 | Event | 1120 | 2031619 | ||
| 816 | Event | 1124 | 2031619 | ||
| 816 | Event | 1128 | 2031619 | ||
| 816 | Event | 1132 | 2031619 | ||
| 816 | Event | 1136 | 2031619 | ||
| 816 | Event | 1140 | 2031619 | ||
| 816 | Event | 1144 | 2031619 | ||
| 816 | Event | 1148 | 2031619 | ||
| 816 | Event | 1152 | 2031619 | ||
| 816 | Event | 1156 | 2031619 | ||
| 816 | Event | 1160 | 2031619 | ||
| 816 | Event | 1164 | 2031619 | ||
| 816 | Event | 1168 | 2031619 | ||
| 816 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 1172 | 1048608 | |
| 816 | EtwRegistration | 1176 | 2052 | ||
| 816 | EtwRegistration | 1180 | 2052 | ||
| 816 | Timer | 1184 | 2031619 | ||
| 816 | EtwRegistration | 1188 | 2052 | ||
| 816 | Event | 1192 | 2031619 | ||
| 816 | TID 1080 PID 816 | Thread | 1196 | 2097151 | |
| 816 | EtwRegistration | 1200 | 2052 | ||
| 816 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 1204 | 4 | |
| 816 | __ComCatalogCache__ | Section | 1208 | 4 | |
| 816 | C:*ProgramData*Microsoft*Windows*Caches*{6AF0698E-D558-4F6E-9B3C-3716689AF493}.2.ver0x0000000000000003.db | Section | 1212 | 983045 | |
| 816 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 1216 | 983045 | |
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\propsys.dll.mui | File | 1220 | 1179785 | |
| 816 | C:*ProgramData*Microsoft*Windows*Caches*{DDF571F2-BE98-426D-8288-1A9A39C3FDA2}.2.ver0x0000000000000001.db | Section | 1224 | 983045 | |
| 816 | ALPC Port | 1228 | 2031617 | ||
| 816 | Event | 1232 | 2031619 | ||
| 816 | Event | 1236 | 2031619 | ||
| 816 | Event | 1240 | 2031619 | ||
| 816 | Token | 1244 | 14 | ||
| 816 | EtwRegistration | 1248 | 2052 | ||
| 816 | ALPC Port | 1252 | 2031617 | ||
| 816 | Token | 1256 | 14 | ||
| 816 | Mutant | 1260 | 2031617 | ||
| 816 | Timer | 1264 | 2031619 | ||
| 816 | EtwRegistration | 1268 | 2052 | ||
| 816 | Event | 1272 | 2031619 | ||
| 816 | EtwRegistration | 1276 | 2052 | ||
| 816 | Mutant | 1280 | 2031617 | ||
| 816 | Event | 1284 | 2031619 | ||
| 816 | TID 1284 PID 816 | Thread | 1288 | 2097151 | |
| 816 | \Device\HarddiskVolume2\Windows\System32\wbem\MOF | File | 1292 | 1048577 | |
| 816 | WINMGMT_COREDLL_CANSHUTDOWN | Event | 1296 | 2031619 | |
| 816 | WINMGMT_PROVIDER_CANSHUTDOWN | Event | 1300 | 2031619 | |
| 816 | WMI_SysEvent_LodCtr | Event | 1304 | 2031619 | |
| 816 | WMI_SysEvent_UnLodCtr | Event | 1308 | 2031619 | |
| 816 | WMI_RevAdap_Set | Event | 1312 | 2031619 | |
| 816 | WMI_RevAdap_ACK | Event | 1316 | 2031619 | |
| 816 | WMI_ProcessIdleTasksStart | Event | 1320 | 2031619 | |
| 816 | WMI_ProcessIdleTasksComplete | Event | 1324 | 2031619 | |
| 816 | WmiGuid | 1328 | 1048580 | ||
| 816 | Event | 1332 | 2031619 | ||
| 816 | WmiGuid | 1336 | 1048580 | ||
| 816 | Event | 1344 | 2031619 | ||
| 816 | EtwRegistration | 1348 | 2052 | ||
| 816 | EtwRegistration | 1352 | 2052 | ||
| 816 | EtwRegistration | 1356 | 2052 | ||
| 816 | EtwRegistration | 1360 | 2052 | ||
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\vsstrace.dll.mui | File | 1364 | 1179785 | |
| 816 | WindowsUpdateTracingMutex | Mutant | 1368 | 2031617 | |
| 816 | TID 1188 PID 816 | Thread | 1372 | 2097151 | |
| 816 | Event | 1376 | 2031619 | ||
| 816 | Event | 1380 | 2031619 | ||
| 816 | Mutant | 1384 | 2031617 | ||
| 816 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 1388 | 131097 | |
| 816 | Event | 1392 | 35586051 | ||
| 816 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\VSS\DIAG\WMI WRITER | Key | 1396 | 131103 | |
| 816 | Event | 1400 | 2031619 | ||
| 816 | ALPC Port | 1404 | 2031617 | ||
| 816 | EtwRegistration | 1408 | 2052 | ||
| 816 | Event | 1412 | 2031619 | ||
| 816 | Event | 1416 | 2031619 | ||
| 816 | EtwRegistration | 1420 | 2052 | ||
| 816 | EtwRegistration | 1424 | 2052 | ||
| 816 | EtwRegistration | 1428 | 2052 | ||
| 816 | Event | 1432 | 2031619 | ||
| 816 | EtwRegistration | 1436 | 2052 | ||
| 816 | EtwRegistration | 1440 | 2052 | ||
| 816 | ALPC Port | 1444 | 2031617 | ||
| 816 | Event | 1448 | 2031619 | ||
| 816 | Event | 1452 | 2031619 | ||
| 816 | Event | 1456 | 2031619 | ||
| 816 | TID 1316 PID 816 | Thread | 1460 | 2097151 | |
| 816 | EtwRegistration | 1464 | 2052 | ||
| 816 | Event | 1468 | 2031619 | ||
| 816 | Event | 1472 | 2031619 | ||
| 816 | EtwRegistration | 1476 | 2052 | ||
| 816 | \Device\WMIDataDevice | File | 1480 | 1180063 | |
| 816 | Event | 1484 | 2031619 | ||
| 816 | EtwRegistration | 1488 | 2052 | ||
| 816 | \Device\HarddiskVolume2\Windows\System32\wbem\Repository\MAPPING1.MAP | File | 1492 | 1180063 | |
| 816 | \Device\HarddiskVolume2\Windows\System32\wbem\Repository\MAPPING2.MAP | File | 1496 | 1180063 | |
| 816 | \Device\HarddiskVolume2\Windows\System32\wbem\Repository\MAPPING3.MAP | File | 1500 | 1180063 | |
| 816 | \Device\HarddiskVolume2\Windows\System32\wbem\Repository\OBJECTS.DATA | File | 1504 | 1180063 | |
| 816 | \Device\HarddiskVolume2\Windows\System32\wbem\Repository\INDEX.BTR | File | 1508 | 1180063 | |
| 816 | Timer | 1512 | 1048578 | ||
| 816 | Timer | 1516 | 1048578 | ||
| 816 | EtwRegistration | 1520 | 2052 | ||
| 816 | EtwRegistration | 1524 | 2052 | ||
| 816 | EtwRegistration | 1528 | 2052 | ||
| 816 | EtwRegistration | 1532 | 2052 | ||
| 816 | Wmi Provider Sub System Counters | Section | 1536 | 983047 | |
| 816 | Event | 1540 | 2031619 | ||
| 816 | Event | 1544 | 2031619 | ||
| 816 | Event | 1548 | 2031619 | ||
| 816 | Event | 1552 | 2031619 | ||
| 816 | WBEM_ESS_OPEN_FOR_BUSINESS | Event | 1556 | 2031619 | |
| 816 | TID 1332 PID 816 | Thread | 1560 | 2097151 | |
| 816 | WINMGMT_PROVIDER_CANSHUTDOWN | Event | 1564 | 2 | |
| 816 | WmiProviderSubSystemHostJob | Job | 1568 | 2031647 | |
| 816 | BaseNamedObjects | Directory | 1572 | 15 | |
| 816 | Event | 1576 | 2031619 | ||
| 816 | EtwRegistration | 1580 | 2052 | ||
| 816 | Event | 1584 | 2031619 | ||
| 816 | EtwRegistration | 1588 | 2052 | ||
| 816 | Event | 1592 | 2031619 | ||
| 816 | Event | 1596 | 2031619 | ||
| 816 | Event | 1600 | 2031619 | ||
| 816 | Event | 1604 | 2031619 | ||
| 816 | Event | 1608 | 2031619 | ||
| 816 | Event | 1612 | 2031619 | ||
| 816 | Event | 1616 | 2031619 | ||
| 816 | WBEM_ESS_OPEN_FOR_BUSINESS | Event | 1620 | 1048576 | |
| 816 | TID 1336 PID 816 | Thread | 1624 | 2097151 | |
| 816 | WBEM_ESS_OPEN_FOR_BUSINESS | Event | 1628 | 2031619 | |
| 816 | Event | 1632 | 2031619 | ||
| 816 | Event | 1636 | 2031619 | ||
| 816 | Event | 1640 | 2031619 | ||
| 816 | Event | 1644 | 2031619 | ||
| 816 | Event | 1648 | 2031619 | ||
| 816 | Event | 1652 | 2031619 | ||
| 816 | svchost.exe(544) | Process | 1656 | 1048576 | |
| 816 | ALPC Port | 1660 | 2031617 | ||
| 816 | Event | 1664 | 2031619 | ||
| 816 | Event | 1668 | 2031619 | ||
| 816 | Event | 1672 | 2031619 | ||
| 816 | Event | 1676 | 2031619 | ||
| 816 | Event | 1680 | 2031619 | ||
| 816 | AELPort | ALPC Port | 1684 | 2031617 | |
| 816 | Event | 1688 | 2031619 | ||
| 816 | EtwRegistration | 1692 | 2052 | ||
| 816 | Event | 1696 | 2031619 | ||
| 816 | firefox.exe(1016) | Process | 1700 | 5240 | |
| 816 | ALPC Port | 1708 | 2031617 | ||
| 816 | ALPC Port | 1712 | 2031617 | ||
| 816 | svchost.exe(544) | Process | 1716 | 1048576 | |
| 816 | WmiGuid | 1720 | 4 | ||
| 816 | Event | 1724 | 1048579 | ||
| 816 | Event | 1728 | 2031619 | ||
| 816 | Event | 1732 | 2031619 | ||
| 816 | Event | 1736 | 2031619 | ||
| 816 | svchost.exe(544) | Process | 1740 | 1048576 | |
| 816 | Event | 1744 | 2031619 | ||
| 816 | Event | 1748 | 2031619 | ||
| 816 | Event | 1752 | 2031619 | ||
| 816 | Event | 1756 | 2031619 | ||
| 816 | WmiGuid | 1760 | 4 | ||
| 816 | Event | 1764 | 2031619 | ||
| 816 | Event | 1768 | 2031619 | ||
| 816 | Event | 1772 | 2031619 | ||
| 816 | svchost.exe(544) | Process | 1776 | 1048576 | |
| 816 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 1780 | 131103 | |
| 816 | ALPC Port | 1784 | 2031617 | ||
| 816 | TID 468 PID 816 | Thread | 1788 | 2097151 | |
| 816 | ALPC Port | 1792 | 2031617 | ||
| 816 | TID 1384 PID 816 | Thread | 1796 | 2097151 | |
| 816 | Token | 1800 | 14 | ||
| 816 | Event | 1804 | 2031619 | ||
| 816 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 1808 | 131103 | |
| 816 | Event | 1812 | 2031619 | ||
| 816 | Event | 1816 | 2031619 | ||
| 816 | Event | 1820 | 2031619 | ||
| 816 | TID 1388 PID 816 | Thread | 1824 | 2097151 | |
| 816 | Event | 1828 | 2031619 | ||
| 816 | ALPC Port | 1832 | 2031617 | ||
| 816 | ALPC Port | 1836 | 2031617 | ||
| 816 | TpWorkerFactory | 1840 | 983295 | ||
| 816 | TID 1412 PID 816 | Thread | 1844 | 2097151 | |
| 816 | Event | 1848 | 2031619 | ||
| 816 | explorer.exe(1460) | Process | 1852 | 5240 | |
| 816 | dwm.exe(1448) | Process | 1856 | 5240 | |
| 816 | \Device\HarddiskVolume2\Windows\SoftwareDistribution\ReportingEvents.log | File | 1860 | 1180063 | |
| 816 | Timer | 1864 | 2031619 | ||
| 816 | ALPC Port | 1868 | 2031617 | ||
| 816 | TID 1388 PID 816 | Thread | 1872 | 2097151 | |
| 816 | Event | 1876 | 2031619 | ||
| 816 | taskhost.exe(1492) | Process | 1880 | 5240 | |
| 816 | ALPC Port | 1884 | 2031617 | ||
| 816 | ALPC Port | 1888 | 2031617 | ||
| 816 | Event | 1892 | 2031619 | ||
| 816 | Event | 1896 | 2031619 | ||
| 816 | ALPC Port | 1900 | 2031617 | ||
| 816 | ALPC Port | 1904 | 2031617 | ||
| 816 | Everything.exe(1640) | Process | 1908 | 5240 | |
| 816 | TID 1600 PID 1460 | Thread | 1912 | 2097151 | |
| 816 | ALPC Port | 1916 | 2031617 | ||
| 816 | explorer.exe(1460) | Process | 1920 | 1048680 | |
| 816 | ALPC Port | 1924 | 2031617 | ||
| 816 | VBoxTray.exe(1648) | Process | 1928 | 5240 | |
| 816 | ALPC Port | 1932 | 2031617 | ||
| 816 | Event | 1936 | 2031619 | ||
| 816 | ALPC Port | 1940 | 2031617 | ||
| 816 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 1944 | 131097 | |
| 816 | ALPC Port | 1948 | 2031617 | ||
| 816 | conhost.exe(1768) | Process | 1952 | 5240 | |
| 816 | ALPC Port | 1956 | 2031617 | ||
| 816 | EtwRegistration | 1960 | 2052 | ||
| 816 | Event | 1964 | 2031619 | ||
| 816 | TID 2316 PID 816 | Thread | 1968 | 2097151 | |
| 816 | Event | 1972 | 2031619 | ||
| 816 | TID 2572 PID 816 | Thread | 1976 | 2097151 | |
| 816 | EtwRegistration | 1980 | 2052 | ||
| 816 | Event | 1984 | 2031619 | ||
| 816 | EtwRegistration | 1988 | 2052 | ||
| 816 | Event | 1992 | 2031619 | ||
| 816 | plugin-contain(1744) | Process | 1996 | 5240 | |
| 816 | steamwebhelper(3108) | Process | 2000 | 5240 | |
| 816 | Steam.exe(3064) | Process | 2004 | 5240 | |
| 816 | Event | 2008 | 2031619 | ||
| 816 | Event | 2012 | 2031619 | ||
| 816 | EtwRegistration | 2016 | 2052 | ||
| 816 | Event | 2020 | 2031619 | ||
| 816 | TID 168 PID 816 | Thread | 2024 | 2097151 | |
| 816 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\WINDOWSUPDATE\REPORTING\EVENTCACHE | Key | 2028 | 12 | |
| 816 | Event | 2032 | 1048579 | ||
| 816 | \Device\HarddiskVolume2\Windows\WindowsUpdate.log | File | 2036 | 1180063 | |
| 816 | EtwRegistration | 2040 | 2052 | ||
| 816 | Event | 2044 | 2031619 | ||
| 816 | Event | 2052 | 2031619 | ||
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\wuaueng.dll.mui | File | 2056 | 1179785 | |
| 816 | Event | 2060 | 2031619 | ||
| 816 | EtwRegistration | 2064 | 2052 | ||
| 816 | ALPC Port | 2068 | 2031617 | ||
| 816 | Event | 2072 | 2031619 | ||
| 816 | Event | 2076 | 2031619 | ||
| 816 | Event | 2080 | 1048579 | ||
| 816 | Event | 2084 | 2031619 | ||
| 816 | EtwRegistration | 2088 | 2052 | ||
| 816 | Event | 2092 | 2031619 | ||
| 816 | ALPC Port | 2096 | 2031617 | ||
| 816 | Event | 2100 | 2031619 | ||
| 816 | EtwRegistration | 2104 | 2052 | ||
| 816 | EtwRegistration | 2108 | 2052 | ||
| 816 | Event | 2112 | 2031619 | ||
| 816 | Event | 2116 | 2031619 | ||
| 816 | Event | 2120 | 2031619 | ||
| 816 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 2124 | 1179785 | |
| 816 | EtwRegistration | 2128 | 2052 | ||
| 816 | EtwRegistration | 2132 | 2052 | ||
| 816 | EtwRegistration | 2136 | 2052 | ||
| 816 | EtwRegistration | 2140 | 2052 | ||
| 816 | Event | 2144 | 2031619 | ||
| 816 | Event | 2148 | 2031619 | ||
| 816 | Event | 2152 | 2031619 | ||
| 816 | Event | 2156 | 2031619 | ||
| 816 | Event | 2160 | 2031619 | ||
| 816 | Event | 2164 | 2031619 | ||
| 816 | Event | 2168 | 2031619 | ||
| 816 | Event | 2172 | 2031619 | ||
| 816 | Event | 2176 | 2031619 | ||
| 816 | Event | 2180 | 2031619 | ||
| 816 | Event | 2184 | 2031619 | ||
| 816 | Event | 2188 | 2031619 | ||
| 816 | Event | 2192 | 2031619 | ||
| 816 | Event | 2196 | 2031619 | ||
| 816 | Event | 2200 | 2031619 | ||
| 816 | Event | 2204 | 2031619 | ||
| 816 | Event | 2208 | 2031619 | ||
| 816 | Event | 2212 | 2031619 | ||
| 816 | Event | 2216 | 2031619 | ||
| 816 | Event | 2220 | 2031619 | ||
| 816 | Event | 2224 | 2031619 | ||
| 816 | Event | 2228 | 2031619 | ||
| 816 | Event | 2232 | 2031619 | ||
| 816 | Event | 2236 | 2031619 | ||
| 816 | Event | 2240 | 2031619 | ||
| 816 | Event | 2244 | 2031619 | ||
| 816 | Event | 2248 | 2031619 | ||
| 816 | Event | 2252 | 2031619 | ||
| 816 | Event | 2256 | 2031619 | ||
| 816 | Event | 2260 | 2031619 | ||
| 816 | Event | 2264 | 2031619 | ||
| 816 | Event | 2268 | 2031619 | ||
| 816 | Event | 2272 | 2031619 | ||
| 816 | Event | 2276 | 2031619 | ||
| 816 | Event | 2280 | 2031619 | ||
| 816 | Event | 2284 | 2031619 | ||
| 816 | Event | 2288 | 2031619 | ||
| 816 | Event | 2292 | 2031619 | ||
| 816 | Event | 2296 | 2031619 | ||
| 816 | Event | 2300 | 2031619 | ||
| 816 | Event | 2304 | 2031619 | ||
| 816 | Event | 2308 | 2031619 | ||
| 816 | Event | 2312 | 2031619 | ||
| 816 | Event | 2316 | 2031619 | ||
| 816 | Event | 2320 | 2031619 | ||
| 816 | Event | 2324 | 2031619 | ||
| 816 | EVENT_READYROOT/CIMV2PROVIDERSUBSYSTEM | Event | 2328 | 1048576 | |
| 816 | ALPC Port | 2332 | 2031617 | ||
| 816 | Event | 2336 | 2031619 | ||
| 816 | EtwRegistration | 2340 | 2052 | ||
| 816 | Event | 2344 | 2031619 | ||
| 816 | Event | 2348 | 2031619 | ||
| 816 | Event | 2352 | 1048579 | ||
| 816 | TID 1192 PID 816 | Thread | 2356 | 2097151 | |
| 816 | Event | 2360 | 2031619 | ||
| 816 | Event | 2364 | 2031619 | ||
| 816 | Event | 2368 | 2031619 | ||
| 816 | EtwRegistration | 2372 | 2052 | ||
| 816 | TID 1188 PID 816 | Thread | 2376 | 2097151 | |
| 816 | EVENT_READYROOT/CIMV2SCM EVENT PROVIDER | Event | 2380 | 2031619 | |
| 816 | \Device\NamedPipe\PIPE_EVENTROOT\CIMV2SCM EVENT PROVIDER | File | 2384 | 1704351 | |
| 816 | TID 1192 PID 816 | Thread | 2388 | 2097151 | |
| 816 | EVENT_READYROOT/CIMV2WMI SELF-INSTRUMENTATION EVENT PROVIDER | Event | 2392 | 2031619 | |
| 816 | Event | 2396 | 2031619 | ||
| 816 | Event | 2400 | 2031619 | ||
| 816 | EtwRegistration | 2404 | 2052 | ||
| 816 | Event | 2408 | 2031619 | ||
| 816 | Event | 2412 | 2031619 | ||
| 816 | Event | 2416 | 2031619 | ||
| 816 | Event | 2420 | 2031619 | ||
| 816 | TID 468 PID 816 | Thread | 2424 | 2097151 | |
| 816 | Event | 2428 | 2031619 | ||
| 816 | \Device\Afd\Endpoint | File | 2432 | 1442207 | |
| 816 | \Device\Afd\Endpoint | File | 2436 | 1442207 | |
| 816 | Event | 2440 | 2031619 | ||
| 816 | Event | 2444 | 2031619 | ||
| 816 | Event | 2448 | 2031619 | ||
| 816 | Event | 2452 | 2031619 | ||
| 816 | Event | 2456 | 2031619 | ||
| 816 | Event | 2460 | 2031619 | ||
| 816 | Event | 2464 | 2031619 | ||
| 816 | Event | 2468 | 2031619 | ||
| 816 | Event | 2472 | 2031619 | ||
| 816 | Event | 2476 | 2031619 | ||
| 816 | ALPC Port | 2484 | 2031617 | ||
| 816 | Event | 2488 | 35586051 | ||
| 816 | WmiPrvSE.exe(1948) | Process | 2496 | 1054017 | |
| 816 | ALPC Port | 2500 | 2031617 | ||
| 816 | Event | 2504 | 2031619 | ||
| 816 | ALPC Port | 2508 | 2031617 | ||
| 816 | Event | 2520 | 2031619 | ||
| 816 | TID 1396 PID 816 | Thread | 2524 | 33556544 | |
| 816 | ALPC Port | 2528 | 2031617 | ||
| 816 | TID 468 PID 816 | Thread | 2532 | 33556544 | |
| 816 | TID 468 PID 816 | Thread | 2536 | 33556544 | |
| 816 | RasPbFile | Mutant | 2548 | 1048576 | |
| 816 | TID 4016 PID 816 | Thread | 2556 | 2097151 | |
| 816 | Event | 2560 | 2031619 | ||
| 816 | TID 828 PID 816 | Thread | 2568 | 33556544 | |
| 816 | TID 2676 PID 816 | Thread | 2572 | 33556544 | |
| 816 | ALPC Port | 2576 | 2031617 | ||
| 816 | Event | 2580 | 2031619 | ||
| 816 | ALPC Port | 2588 | 2031617 | ||
| 816 | Event | 2592 | 2031619 | ||
| 816 | TID 4016 PID 816 | Thread | 2608 | 2097151 | |
| 816 | Event | 2612 | 2031619 | ||
| 816 | Event | 2616 | 2031619 | ||
| 816 | Token | 2620 | 14 | ||
| 816 | Event | 2628 | 2031619 | ||
| 816 | Event | 2632 | 2031619 | ||
| 816 | Event | 2636 | 2031619 | ||
| 816 | TID 900 PID 816 | Thread | 2640 | 33556544 | |
| 816 | Event | 2644 | 2031619 | ||
| 816 | Event | 2648 | 2031619 | ||
| 816 | Event | 2652 | 2031619 | ||
| 816 | Event | 2656 | 2031619 | ||
| 816 | Event | 2660 | 2031619 | ||
| 816 | Event | 2664 | 2031619 | ||
| 816 | Event | 2668 | 2031619 | ||
| 816 | Event | 2672 | 2031619 | ||
| 816 | Event | 2676 | 2031619 | ||
| 816 | Event | 2680 | 2031619 | ||
| 816 | EtwRegistration | 2684 | 2052 | ||
| 816 | Event | 2688 | 2031619 | ||
| 816 | Event | 2692 | 2031619 | ||
| 816 | TID 468 PID 816 | Thread | 2696 | 2097151 | |
| 816 | Event | 2700 | 2031619 | ||
| 816 | Event | 2704 | 1048579 | ||
| 816 | TID 1312 PID 816 | Thread | 2708 | 2097151 | |
| 816 | Event | 2712 | 2031619 | ||
| 816 | Event | 2716 | 2031619 | ||
| 816 | steamwebhelper(3896) | Process | 2720 | 5240 | |
| 816 | Event | 2728 | 35586051 | ||
| 816 | Event | 2732 | 2031619 | ||
| 816 | Event | 2736 | 2031619 | ||
| 816 | Event | 2740 | 2031619 | ||
| 816 | Event | 2744 | 2031619 | ||
| 816 | Event | 2748 | 2031619 | ||
| 816 | Event | 2756 | 1048579 | ||
| 816 | Event | 2760 | 2031619 | ||
| 816 | TID 2676 PID 816 | Thread | 2764 | 33556544 | |
| 816 | Event | 2768 | 1048579 | ||
| 816 | Event | 2772 | 1048579 | ||
| 816 | Event | 2780 | 2031619 | ||
| 816 | Event | 2784 | 2031619 | ||
| 816 | steamwebhelper(2108) | Process | 2788 | 5240 | |
| 816 | Event | 2792 | 2031619 | ||
| 816 | USER\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 2796 | 8 | |
| 816 | Event | 2800 | 2031619 | ||
| 816 | Event | 2804 | 1048579 | ||
| 816 | Event | 2812 | 2031619 | ||
| 816 | Event | 2816 | 2031619 | ||
| 816 | Event | 2820 | 2031619 | ||
| 816 | EtwRegistration | 2824 | 2052 | ||
| 816 | Event | 2828 | 2031619 | ||
| 816 | Event | 2832 | 2031619 | ||
| 816 | Event | 2836 | 2031619 | ||
| 816 | Event | 2840 | 2031619 | ||
| 816 | Event | 2844 | 2031619 | ||
| 816 | Event | 2848 | 1048579 | ||
| 816 | ALPC Port | 2852 | 2031617 | ||
| 816 | python.exe(2152) | Process | 2856 | 5240 | |
| 816 | TID 1312 PID 816 | Thread | 2860 | 2097151 | |
| 816 | Event | 2864 | 2031619 | ||
| 816 | Event | 2868 | 2031619 | ||
| 816 | Event | 2872 | 2031619 | ||
| 816 | Event | 2876 | 2031619 | ||
| 816 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 2880 | 8 | |
| 816 | Event | 2884 | 2031619 | ||
| 816 | Event | 2888 | 2031619 | ||
| 816 | TID 1312 PID 816 | Thread | 2892 | 33556544 | |
| 816 | ALPC Port | 2896 | 2031617 | ||
| 816 | ALPC Port | 2904 | 2031617 | ||
| 816 | Event | 2908 | 2031619 | ||
| 816 | Event | 2912 | 1048579 | ||
| 816 | Event | 2916 | 2031619 | ||
| 816 | Event | 2924 | 2031619 | ||
| 816 | Event | 2928 | 2031619 | ||
| 816 | Event | 2932 | 2031619 | ||
| 816 | Event | 2936 | 2031619 | ||
| 816 | Event | 2940 | 1048579 | ||
| 816 | ALPC Port | 2952 | 2031617 | ||
| 816 | Event | 2964 | 2031619 | ||
| 816 | Event | 2972 | 2031619 | ||
| 816 | Event | 2980 | 2031619 | ||
| 816 | Event | 2988 | 2031619 | ||
| 816 | Event | 2992 | 2031619 | ||
| 816 | Event | 2996 | 2031619 | ||
| 816 | Event | 3004 | 2031619 | ||
| 816 | Event | 3008 | 2031619 | ||
| 816 | Event | 3012 | 2031619 | ||
| 816 | Event | 3024 | 2031619 | ||
| 816 | Event | 3028 | 2031619 | ||
| 816 | Event | 3032 | 2031619 | ||
| 816 | Event | 3036 | 2031619 | ||
| 904 | KnownDlls | Directory | 4 | 3 | |
| 904 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 904 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 904 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 904 | ALPC Port | 20 | 2031617 | ||
| 904 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 904 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 28 | 1 | |
| 904 | EtwRegistration | 32 | 2052 | ||
| 904 | Event | 36 | 35586051 | ||
| 904 | Service-0x0-3e5$ | WindowStation | 40 | 983150 | |
| 904 | Default | Desktop | 44 | 983247 | |
| 904 | Service-0x0-3e5$ | WindowStation | 48 | 983150 | |
| 904 | \Device\HarddiskVolume2\Windows\System32\en-US\audiodg.exe.mui | File | 52 | 1179785 | |
| 904 | MACHINE | Key | 56 | 131097 | |
| 904 | EtwRegistration | 60 | 2052 | ||
| 904 | Event | 64 | 2031619 | ||
| 904 | Event | 68 | 2031619 | ||
| 904 | Event | 72 | 2031619 | ||
| 904 | Event | 76 | 2031619 | ||
| 904 | Event | 80 | 2031619 | ||
| 904 | Event | 84 | 2031619 | ||
| 904 | BaseNamedObjects | Directory | 88 | 15 | |
| 904 | Mutant | 92 | 2031617 | ||
| 904 | Event | 96 | 2031619 | ||
| 904 | EtwRegistration | 100 | 2052 | ||
| 904 | EtwRegistration | 104 | 2052 | ||
| 904 | EtwRegistration | 108 | 2052 | ||
| 904 | EtwRegistration | 112 | 2052 | ||
| 904 | Event | 116 | 2031619 | ||
| 904 | Event | 120 | 2031619 | ||
| 904 | \Device\KsecDD | File | 124 | 1048577 | |
| 904 | EtwRegistration | 128 | 2052 | ||
| 904 | EtwRegistration | 132 | 2052 | ||
| 904 | Event | 136 | 2031619 | ||
| 904 | Event | 140 | 2031619 | ||
| 904 | Event | 144 | 2031619 | ||
| 904 | Event | 148 | 2031619 | ||
| 904 | Event | 152 | 2031619 | ||
| 904 | EtwRegistration | 156 | 2052 | ||
| 904 | EtwRegistration | 160 | 2052 | ||
| 904 | Event | 164 | 2031619 | ||
| 904 | TID 908 PID 904 | Thread | 168 | 2097151 | |
| 904 | AudioDeviceGraph | ALPC Port | 172 | 2031617 | |
| 904 | KeyedEvent | 176 | 983043 | ||
| 904 | IoCompletion | 180 | 2031619 | ||
| 904 | TpWorkerFactory | 184 | 983295 | ||
| 904 | ALPC Port | 188 | 2031617 | ||
| 904 | Event | 192 | 2031619 | ||
| 904 | svchost.exe(704) | Process | 196 | 1048576 | |
| 904 | Timer | 204 | 1048578 | ||
| 904 | EtwRegistration | 208 | 2052 | ||
| 904 | Event | 212 | 2031619 | ||
| 904 | Semaphore | 216 | 1048579 | ||
| 904 | Semaphore | 220 | 1048579 | ||
| 904 | Semaphore | 224 | 1048579 | ||
| 904 | Semaphore | 228 | 1048579 | ||
| 904 | Semaphore | 232 | 1048579 | ||
| 904 | Semaphore | 236 | 1048579 | ||
| 904 | Semaphore | 240 | 1048579 | ||
| 904 | Semaphore | 244 | 1048579 | ||
| 904 | Timer | 248 | 2031619 | ||
| 904 | TID 944 PID 904 | Thread | 252 | 2097151 | |
| 904 | TID 944 PID 904 | Thread | 256 | 2097151 | |
| 904 | Timer | 260 | 1048578 | ||
| 904 | Event | 264 | 2031619 | ||
| 904 | MACHINE\SOFTWARE\CLASSES | Key | 268 | 131097 | |
| 904 | __ComCatalogCache__ | Section | 272 | 4 | |
| 904 | MaximumCommitCondition | Event | 276 | 1048577 | |
| 904 | OLE3BBB317C3E654721ADA43A331841 | ALPC Port | 280 | 2031617 | |
| 904 | Event | 284 | 2031619 | ||
| 904 | EtwRegistration | 288 | 2052 | ||
| 904 | Event | 292 | 2031619 | ||
| 904 | ALPC Port | 300 | 2031617 | ||
| 904 | Event | 312 | 2031619 | ||
| 904 | TID 2660 PID 904 | Thread | 320 | 2097151 | |
| 904 | ALPC Port | 328 | 2031617 | ||
| 904 | EtwRegistration | 332 | 2052 | ||
| 904 | EtwRegistration | 336 | 2052 | ||
| 904 | EtwRegistration | 340 | 2052 | ||
| 904 | __ComCatalogCache__ | Section | 344 | 4 | |
| 904 | EtwRegistration | 348 | 2052 | ||
| 904 | EtwRegistration | 352 | 2052 | ||
| 904 | MACHINE\SOFTWARE\CLASSES | Key | 356 | 131097 | |
| 904 | EtwRegistration | 360 | 2052 | ||
| 904 | EtwRegistration | 364 | 2052 | ||
| 904 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 368 | 1179785 | |
| 904 | Event | 372 | 2031619 | ||
| 904 | Mutant | 376 | 2031617 | ||
| 904 | Event | 380 | 2031619 | ||
| 904 | Mutant | 384 | 2031617 | ||
| 904 | Event | 388 | 2031619 | ||
| 904 | Mutant | 392 | 2031617 | ||
| 904 | Event | 396 | 2031619 | ||
| 904 | Mutant | 400 | 2031617 | ||
| 904 | Mutant | 404 | 2031617 | ||
| 904 | Event | 408 | 2031619 | ||
| 904 | Mutant | 412 | 2031617 | ||
| 904 | Event | 416 | 2031619 | ||
| 904 | Event | 420 | 2031619 | ||
| 904 | EtwRegistration | 424 | 2052 | ||
| 904 | ALPC Port | 428 | 2031617 | ||
| 904 | EtwRegistration | 432 | 2052 | ||
| 904 | EtwRegistration | 436 | 2052 | ||
| 904 | EtwRegistration | 440 | 2052 | ||
| 904 | Event | 444 | 2031619 | ||
| 904 | Mutant | 448 | 2031617 | ||
| 904 | Mutant | 452 | 2031617 | ||
| 904 | Event | 456 | 2031619 | ||
| 904 | EtwRegistration | 472 | 2052 | ||
| 904 | Event | 488 | 2031619 | ||
| 904 | ALPC Port | 500 | 2031617 | ||
| 904 | Event | 504 | 2031619 | ||
| 904 | EtwRegistration | 508 | 2052 | ||
| 904 | Event | 516 | 2031619 | ||
| 904 | TID 1140 PID 904 | Thread | 524 | 2097151 | |
| 904 | Event | 544 | 2031619 | ||
| 904 | Event | 548 | 2031619 | ||
| 904 | Event | 560 | 1048578 | ||
| 904 | Event | 604 | 1048578 | ||
| 904 | Event | 684 | 2031619 | ||
| 980 | KnownDlls | Directory | 4 | 3 | |
| 980 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 980 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 980 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 980 | ALPC Port | 20 | 2031617 | ||
| 980 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 980 | EtwRegistration | 28 | 2052 | ||
| 980 | EtwRegistration | 32 | 2052 | ||
| 980 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 980 | Event | 40 | 35586051 | ||
| 980 | Service-0x0-3e5$ | WindowStation | 44 | 983150 | |
| 980 | Default | Desktop | 48 | 983247 | |
| 980 | Service-0x0-3e5$ | WindowStation | 52 | 983150 | |
| 980 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 56 | 1179785 | |
| 980 | Event | 60 | 2031619 | ||
| 980 | EtwRegistration | 64 | 2052 | ||
| 980 | Event | 68 | 2031619 | ||
| 980 | Event | 72 | 2031619 | ||
| 980 | Event | 76 | 2031619 | ||
| 980 | Event | 80 | 2031619 | ||
| 980 | Event | 84 | 2031619 | ||
| 980 | BaseNamedObjects | Directory | 88 | 15 | |
| 980 | Event | 92 | 2031619 | ||
| 980 | Event | 96 | 2031619 | ||
| 980 | \Device\KsecDD | File | 100 | 1048577 | |
| 980 | Event | 104 | 2031619 | ||
| 980 | Event | 108 | 2031619 | ||
| 980 | Event | 112 | 2031619 | ||
| 980 | EtwRegistration | 116 | 2052 | ||
| 980 | EtwRegistration | 120 | 2052 | ||
| 980 | Event | 124 | 2031619 | ||
| 980 | TID 984 PID 980 | Thread | 128 | 2097151 | |
| 980 | Event | 132 | 2031619 | ||
| 980 | KeyedEvent | 136 | 983043 | ||
| 980 | IoCompletion | 140 | 2031619 | ||
| 980 | TpWorkerFactory | 144 | 983295 | ||
| 980 | Timer | 148 | 1048578 | ||
| 980 | Timer | 152 | 2031619 | ||
| 980 | TID 988 PID 980 | Thread | 156 | 2097151 | |
| 980 | TID 988 PID 980 | Thread | 160 | 2097151 | |
| 980 | Timer | 164 | 1048578 | ||
| 980 | ALPC Port | 168 | 2031617 | ||
| 980 | Event | 172 | 2031619 | ||
| 980 | Mutant | 176 | 2031617 | ||
| 980 | Event | 180 | 2031619 | ||
| 980 | Token | 184 | 72 | ||
| 980 | ALPC Port | 188 | 2031617 | ||
| 980 | Event | 192 | 2031619 | ||
| 980 | IoCompletion | 200 | 2031619 | ||
| 980 | Event | 204 | 2031619 | ||
| 980 | USER\S-1-5-19\CONTROL PANEL\INTERNATIONAL | Key | 208 | 131097 | |
| 980 | ALPC Port | 212 | 2031617 | ||
| 980 | Event | 216 | 2031619 | ||
| 980 | TID 3796 PID 980 | Thread | 220 | 2097151 | |
| 980 | Event | 228 | 2031619 | ||
| 980 | Event | 232 | 2031619 | ||
| 980 | Event | 236 | 2031619 | ||
| 980 | Event | 240 | 2031619 | ||
| 980 | OLEEC12549C595C402A9F31E4598CF6 | ALPC Port | 244 | 2031617 | |
| 980 | EtwRegistration | 252 | 2052 | ||
| 980 | Event | 256 | 2031619 | ||
| 980 | ALPC Port | 260 | 2031617 | ||
| 980 | __ComCatalogCache__ | Section | 268 | 4 | |
| 980 | Token | 272 | 14 | ||
| 980 | MACHINE\SOFTWARE\CLASSES | Key | 276 | 131097 | |
| 980 | MaximumCommitCondition | Event | 280 | 1048577 | |
| 980 | Event | 284 | 2031619 | ||
| 980 | Event | 288 | 2031619 | ||
| 980 | Event | 292 | 2031619 | ||
| 980 | MaximumCommitCondition | Event | 296 | 1048577 | |
| 980 | Event | 300 | 2031619 | ||
| 980 | Event | 304 | 2031619 | ||
| 980 | MACHINE\SOFTWARE\MICROSOFT\EVENTSYSTEM\EVENTLOG | Key | 308 | 131097 | |
| 980 | IoCompletion | 312 | 2031619 | ||
| 980 | TpWorkerFactory | 316 | 983295 | ||
| 980 | ALPC Port | 324 | 2031617 | ||
| 980 | \Device\Nsi | File | 328 | 1048704 | |
| 980 | EtwRegistration | 332 | 2052 | ||
| 980 | Event | 336 | 2031619 | ||
| 980 | LRPC-3aa9408643e6f4f813 | ALPC Port | 340 | 2031617 | |
| 980 | Event | 344 | 2031619 | ||
| 980 | TID 1248 PID 980 | Thread | 352 | 2097151 | |
| 980 | EtwRegistration | 364 | 2052 | ||
| 980 | Token | 372 | 14 | ||
| 980 | ALPC Port | 376 | 2031617 | ||
| 980 | ALPC Port | 380 | 2031617 | ||
| 980 | TID 1896 PID 980 | Thread | 392 | 2122 | |
| 980 | Event | 396 | 2031619 | ||
| 980 | Token | 400 | 12 | ||
| 980 | ALPC Port | 404 | 2031617 | ||
| 980 | TID 1424 PID 980 | Thread | 408 | 2097151 | |
| 980 | TID 2868 PID 980 | Thread | 412 | 2097151 | |
| 980 | Event | 416 | 2031619 | ||
| 980 | EtwRegistration | 424 | 2052 | ||
| 980 | EtwRegistration | 428 | 2052 | ||
| 980 | Event | 432 | 2031619 | ||
| 980 | ALPC Port | 440 | 2031617 | ||
| 980 | Event | 444 | 2031619 | ||
| 980 | EtwRegistration | 448 | 2052 | ||
| 980 | Event | 452 | 2031619 | ||
| 980 | Event | 456 | 2031619 | ||
| 980 | Event | 460 | 2031619 | ||
| 980 | TID 1572 PID 980 | Thread | 464 | 2097151 | |
| 980 | Event | 468 | 2031619 | ||
| 980 | TID 1572 PID 980 | Thread | 472 | 2097151 | |
| 980 | TID 1572 PID 980 | Thread | 476 | 2097151 | |
| 980 | \Device\HarddiskVolume2\Windows\System32\en-US\netprofm.dll.mui | File | 480 | 1179785 | |
| 980 | TID 1576 PID 980 | Thread | 484 | 2097151 | |
| 980 | Event | 488 | 35586051 | ||
| 980 | TID 3796 PID 980 | Thread | 496 | 2097151 | |
| 980 | Event | 500 | 2031619 | ||
| 980 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 504 | 131097 | |
| 980 | Event | 508 | 2031619 | ||
| 980 | Event | 512 | 2031619 | ||
| 980 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 516 | 131097 | |
| 980 | TID 1572 PID 980 | Thread | 520 | 2097151 | |
| 980 | Event | 524 | 2031619 | ||
| 980 | Event | 528 | 2031619 | ||
| 980 | Event | 532 | 2031619 | ||
| 980 | ALPC Port | 536 | 2031617 | ||
| 980 | TID 2656 PID 980 | Thread | 540 | 2097151 | |
| 980 | Event | 544 | 35586051 | ||
| 980 | Event | 548 | 2031619 | ||
| 980 | Event | 552 | 2031619 | ||
| 980 | Event | 556 | 2031619 | ||
| 980 | ALPC Port | 560 | 2031617 | ||
| 980 | Event | 564 | 2031619 | ||
| 980 | TID 1588 PID 980 | Thread | 568 | 2097151 | |
| 980 | Event | 572 | 2031619 | ||
| 980 | TID 1588 PID 980 | Thread | 576 | 2097151 | |
| 980 | ALPC Port | 580 | 2031617 | ||
| 980 | Event | 584 | 2031619 | ||
| 980 | TID 1588 PID 980 | Thread | 588 | 16 | |
| 980 | Token | 596 | 14 | ||
| 980 | Token | 600 | 14 | ||
| 980 | ALPC Port | 604 | 2031617 | ||
| 980 | Event | 608 | 2031619 | ||
| 980 | Event | 612 | 1048579 | ||
| 980 | Token | 616 | 14 | ||
| 980 | Token | 620 | 14 | ||
| 980 | ALPC Port | 624 | 2031617 | ||
| 980 | Mutant | 628 | 2031617 | ||
| 980 | TID 1876 PID 980 | Thread | 632 | 2097151 | |
| 980 | Mutant | 636 | 2031617 | ||
| 980 | Event | 640 | 35586051 | ||
| 980 | Event | 644 | 2031619 | ||
| 980 | Event | 648 | 2031619 | ||
| 980 | TID 1876 PID 980 | Thread | 652 | 2097151 | |
| 980 | Event | 656 | 2031619 | ||
| 980 | TID 1876 PID 980 | Thread | 660 | 2097151 | |
| 980 | Token | 664 | 14 | ||
| 980 | Token | 668 | 14 | ||
| 980 | Mutant | 672 | 2031617 | ||
| 980 | EtwRegistration | 676 | 2052 | ||
| 980 | Token | 680 | 14 | ||
| 980 | ALPC Port | 684 | 2031617 | ||
| 980 | Event | 688 | 2031619 | ||
| 980 | Event | 692 | 2031619 | ||
| 980 | __ComCatalogCache__ | Section | 696 | 4 | |
| 980 | Semaphore | 700 | 1048579 | ||
| 980 | Event | 704 | 2031619 | ||
| 980 | Semaphore | 708 | 1048579 | ||
| 980 | \Device\KsecDD | File | 712 | 1048579 | |
| 980 | EtwRegistration | 716 | 2052 | ||
| 980 | EtwRegistration | 720 | 2052 | ||
| 980 | EtwRegistration | 724 | 2052 | ||
| 980 | EtwRegistration | 728 | 2052 | ||
| 980 | EtwRegistration | 732 | 2052 | ||
| 980 | EtwRegistration | 736 | 2052 | ||
| 980 | EtwRegistration | 740 | 2052 | ||
| 980 | ALPC Port | 744 | 2031617 | ||
| 980 | EtwRegistration | 748 | 2052 | ||
| 980 | Token | 752 | 14 | ||
| 980 | ALPC Port | 756 | 2031617 | ||
| 980 | Mutant | 760 | 2031617 | ||
| 980 | Mutant | 764 | 2031617 | ||
| 980 | Token | 768 | 14 | ||
| 980 | Token | 772 | 14 | ||
| 980 | Token | 776 | 14 | ||
| 980 | Token | 780 | 14 | ||
| 980 | IoCompletion | 784 | 2031619 | ||
| 980 | ALPC Port | 792 | 2031617 | ||
| 980 | TpWorkerFactory | 796 | 983295 | ||
| 980 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT | Key | 800 | 131097 | |
| 980 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\EPOCH | Key | 804 | 16 | |
| 980 | Event | 808 | 2031619 | ||
| 980 | Semaphore | 812 | 2031619 | ||
| 980 | KeyedEvent | 816 | 983043 | ||
| 980 | IoCompletion | 820 | 2031619 | ||
| 980 | TpWorkerFactory | 824 | 983295 | ||
| 980 | IoCompletion | 828 | 2031619 | ||
| 980 | TpWorkerFactory | 832 | 983295 | ||
| 980 | EtwRegistration | 836 | 2052 | ||
| 980 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\CRYPT32 | Key | 840 | 131097 | |
| 980 | Event | 844 | 2031619 | ||
| 980 | Event | 848 | 1048579 | ||
| 980 | TpWorkerFactory | 852 | 983295 | ||
| 980 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\SMARTCARDROOT | Key | 856 | 131097 | |
| 980 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDDEVICES | Key | 860 | 131097 | |
| 980 | IoCompletion | 864 | 2031619 | ||
| 980 | Event | 868 | 2031619 | ||
| 980 | TpWorkerFactory | 872 | 983295 | ||
| 980 | \Device\Afd\Endpoint | File | 880 | 1442207 | |
| 980 | Event | 884 | 2031619 | ||
| 980 | Semaphore | 888 | 2031619 | ||
| 980 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDDEVICES | Key | 892 | 131097 | |
| 980 | \Device\Afd\Endpoint | File | 900 | 1442207 | |
| 980 | Semaphore | 904 | 2031619 | ||
| 980 | Event | 912 | 2031619 | ||
| 980 | Event | 916 | 2031619 | ||
| 980 | Event | 920 | 2031619 | ||
| 980 | TpWorkerFactory | 928 | 983295 | ||
| 980 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\ROOT | Key | 932 | 131097 | |
| 980 | Event | 936 | 2031619 | ||
| 980 | Event | 940 | 2031619 | ||
| 980 | IoCompletion | 944 | 2031619 | ||
| 980 | Event | 948 | 2031619 | ||
| 980 | EtwRegistration | 952 | 2052 | ||
| 980 | EtwRegistration | 960 | 2052 | ||
| 980 | TID 2336 PID 980 | Thread | 968 | 2097151 | |
| 980 | ALPC Port | 972 | 2031617 | ||
| 980 | TpWorkerFactory | 976 | 983295 | ||
| 980 | ALPC Port | 980 | 2031617 | ||
| 980 | IoCompletion | 988 | 2031619 | ||
| 980 | Semaphore | 992 | 2031619 | ||
| 980 | Token | 996 | 14 | ||
| 980 | \Device\Afd\Endpoint | File | 1000 | 1442207 | |
| 980 | \Device\Afd\Endpoint | File | 1004 | 1442207 | |
| 980 | Event | 1016 | 2031619 | ||
| 980 | IoCompletion | 1020 | 2031619 | ||
| 980 | TpWorkerFactory | 1024 | 983295 | ||
| 980 | TID 2868 PID 980 | Thread | 1036 | 2097151 | |
| 980 | Semaphore | 1052 | 2031619 | ||
| 980 | TID 2884 PID 980 | Thread | 1056 | 2097151 | |
| 980 | TpWorkerFactory | 1064 | 983295 | ||
| 980 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT | Key | 1084 | 131097 | |
| 980 | TID 1896 PID 980 | Thread | 1088 | 2097151 | |
| 980 | EtwRegistration | 1104 | 2052 | ||
| 980 | Event | 1108 | 2031619 | ||
| 980 | Event | 1120 | 2031619 | ||
| 980 | Event | 1128 | 2031619 | ||
| 980 | IoCompletion | 1132 | 2031619 | ||
| 980 | TpWorkerFactory | 1136 | 983295 | ||
| 980 | Timer | 1144 | 1048578 | ||
| 980 | Event | 1148 | 2031619 | ||
| 980 | \Device\HarddiskVolume2\Windows\System32\en-US\wshtcpip.dll.mui | File | 1156 | 1179785 | |
| 980 | \Device\HarddiskVolume2\Windows\System32\en-US\wship6.dll.mui | File | 1160 | 1179785 | |
| 980 | Event | 1164 | 2031619 | ||
| 980 | TpWorkerFactory | 1176 | 983295 | ||
| 980 | Timer | 1180 | 2031619 | ||
| 980 | IoCompletion | 1184 | 2031619 | ||
| 980 | Event | 1188 | 1048579 | ||
| 980 | Event | 1192 | 1048579 | ||
| 980 | Event | 1196 | 2031619 | ||
| 980 | Event | 1200 | 2031619 | ||
| 980 | IoCompletion | 1204 | 2031619 | ||
| 980 | Event | 1208 | 2031619 | ||
| 980 | IoCompletion | 1212 | 2031619 | ||
| 980 | IoCompletion | 1216 | 2031619 | ||
| 980 | TpWorkerFactory | 1220 | 983295 | ||
| 980 | TpWorkerFactory | 1224 | 983295 | ||
| 980 | Event | 1228 | 2031619 | ||
| 980 | \Device\Afd\Endpoint | File | 1232 | 1442207 | |
| 980 | Token | 1236 | 14 | ||
| 980 | Mutant | 1240 | 2031617 | ||
| 980 | Semaphore | 1244 | 2031619 | ||
| 980 | Timer | 1252 | 1048578 | ||
| 980 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\EPOCH2 | Key | 1256 | 16 | |
| 980 | IoCompletion | 1260 | 2031619 | ||
| 980 | Event | 1264 | 2031619 | ||
| 980 | TID 1436 PID 980 | Thread | 1268 | 2097151 | |
| 980 | Event | 1272 | 2031619 | ||
| 980 | \Device\Afd\Endpoint | File | 1276 | 1442207 | |
| 980 | IoCompletion | 1280 | 2031619 | ||
| 980 | TpWorkerFactory | 1284 | 983295 | ||
| 980 | EtwRegistration | 1288 | 2052 | ||
| 980 | EtwRegistration | 1292 | 2052 | ||
| 980 | EtwRegistration | 1296 | 2052 | ||
| 980 | Token | 1304 | 14 | ||
| 980 | TID 1896 PID 980 | Thread | 1308 | 2097151 | |
| 980 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 1312 | 1179785 | |
| 980 | Event | 1360 | 2031619 | ||
| 980 | IoCompletion | 1364 | 2031619 | ||
| 980 | TpWorkerFactory | 1376 | 983295 | ||
| 980 | Semaphore | 1380 | 1048579 | ||
| 980 | Semaphore | 1384 | 1048579 | ||
| 980 | ALPC Port | 1392 | 2031617 | ||
| 980 | EtwRegistration | 1396 | 2052 | ||
| 980 | EtwRegistration | 1400 | 2052 | ||
| 980 | EtwRegistration | 1404 | 2052 | ||
| 980 | Event | 1408 | 2031619 | ||
| 980 | TpWorkerFactory | 1412 | 983295 | ||
| 980 | TID 1896 PID 980 | Thread | 1416 | 2097151 | |
| 980 | Timer | 1420 | 1048578 | ||
| 980 | Event | 1428 | 35586051 | ||
| 980 | IoCompletion | 1432 | 2031619 | ||
| 980 | Event | 1448 | 2031619 | ||
| 980 | TID 2020 PID 980 | Thread | 1452 | 2122 | |
| 980 | Event | 1456 | 2031619 | ||
| 980 | Semaphore | 1460 | 2031619 | ||
| 980 | Semaphore | 1464 | 2031619 | ||
| 980 | Event | 1468 | 2031619 | ||
| 980 | TpWorkerFactory | 1472 | 983295 | ||
| 980 | IoCompletion | 1480 | 2031619 | ||
| 980 | Event | 1484 | 2031619 | ||
| 980 | Event | 1488 | 2031619 | ||
| 980 | EtwRegistration | 1496 | 2052 | ||
| 980 | EtwRegistration | 1500 | 2052 | ||
| 980 | TID 3796 PID 980 | Thread | 1508 | 2097151 | |
| 980 | Timer | 1516 | 1048578 | ||
| 980 | Timer | 1520 | 1048578 | ||
| 980 | Token | 1524 | 14 | ||
| 980 | TID 2868 PID 980 | Thread | 1528 | 2097151 | |
| 980 | Mutant | 1532 | 2031617 | ||
| 980 | Token | 1536 | 14 | ||
| 980 | Timer | 1552 | 1048578 | ||
| 980 | Event | 1556 | 2031619 | ||
| 980 | TpWorkerFactory | 1560 | 983295 | ||
| 980 | TpWorkerFactory | 1564 | 983295 | ||
| 980 | TID 2872 PID 980 | Thread | 1568 | 2097151 | |
| 980 | Event | 1572 | 2031619 | ||
| 980 | IoCompletion | 1584 | 2031619 | ||
| 980 | Event | 1588 | 2031619 | ||
| 980 | TID 1896 PID 980 | Thread | 1592 | 2097151 | |
| 1112 | KnownDlls | Directory | 4 | 3 | |
| 1112 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1112 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 1112 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 1112 | ALPC Port | 20 | 2031617 | ||
| 1112 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 1112 | EtwRegistration | 28 | 2052 | ||
| 1112 | EtwRegistration | 32 | 2052 | ||
| 1112 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 1112 | Event | 40 | 35586051 | ||
| 1112 | Service-0x0-3e5$ | WindowStation | 44 | 131170 | |
| 1112 | Default | Desktop | 48 | 131137 | |
| 1112 | Service-0x0-3e5$ | WindowStation | 52 | 131170 | |
| 1112 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 56 | 1179785 | |
| 1112 | Event | 60 | 2031619 | ||
| 1112 | EtwRegistration | 64 | 2052 | ||
| 1112 | Event | 68 | 2031619 | ||
| 1112 | Event | 72 | 2031619 | ||
| 1112 | Event | 76 | 2031619 | ||
| 1112 | Event | 80 | 2031619 | ||
| 1112 | Event | 84 | 2031619 | ||
| 1112 | BaseNamedObjects | Directory | 88 | 15 | |
| 1112 | Event | 92 | 2031619 | ||
| 1112 | Event | 96 | 2031619 | ||
| 1112 | \Device\KsecDD | File | 100 | 1048577 | |
| 1112 | Event | 104 | 2031619 | ||
| 1112 | Event | 108 | 2031619 | ||
| 1112 | Event | 112 | 2031619 | ||
| 1112 | EtwRegistration | 116 | 2052 | ||
| 1112 | EtwRegistration | 120 | 2052 | ||
| 1112 | Event | 124 | 2031619 | ||
| 1112 | TID 1116 PID 1112 | Thread | 128 | 2097151 | |
| 1112 | KeyedEvent | 136 | 983043 | ||
| 1112 | IoCompletion | 140 | 2031619 | ||
| 1112 | TpWorkerFactory | 144 | 983295 | ||
| 1112 | Timer | 148 | 1048578 | ||
| 1112 | Timer | 152 | 2031619 | ||
| 1112 | TID 1120 PID 1112 | Thread | 156 | 2097151 | |
| 1112 | TID 1120 PID 1112 | Thread | 160 | 2097151 | |
| 1112 | Timer | 164 | 1048578 | ||
| 1112 | ALPC Port | 168 | 2031617 | ||
| 1112 | Event | 172 | 2031619 | ||
| 1112 | Mutant | 176 | 2031617 | ||
| 1112 | Event | 180 | 2031619 | ||
| 1112 | Token | 184 | 72 | ||
| 1112 | ALPC Port | 188 | 2031617 | ||
| 1112 | Event | 192 | 2031619 | ||
| 1112 | Event | 196 | 2031619 | ||
| 1112 | TID 2268 PID 1112 | Thread | 200 | 2097151 | |
| 1112 | Event | 204 | 2031619 | ||
| 1112 | USER\S-1-5-19\CONTROL PANEL\INTERNATIONAL | Key | 208 | 131097 | |
| 1112 | Semaphore | 212 | 1048579 | ||
| 1112 | Semaphore | 216 | 1048579 | ||
| 1112 | Event | 220 | 2031619 | ||
| 1112 | EtwRegistration | 224 | 2052 | ||
| 1112 | Semaphore | 236 | 2031619 | ||
| 1112 | \Device\WFP | File | 240 | 1180063 | |
| 1112 | \Device\WFP | File | 244 | 1180063 | |
| 1112 | \Device\NXTIPSEC | File | 248 | 1180063 | |
| 1112 | \Device\IPSECDOSP | File | 252 | 1180063 | |
| 1112 | \Device\WfpAle | File | 256 | 1180063 | |
| 1112 | \Device\HarddiskVolume2\Windows\System32\en-US\bfe.dll.mui | File | 260 | 1179785 | |
| 1112 | Event | 264 | 2031619 | ||
| 1112 | Event | 268 | 2031619 | ||
| 1112 | Event | 272 | 2031619 | ||
| 1112 | TID 1144 PID 1112 | Thread | 276 | 2097151 | |
| 1112 | ALPC Port | 280 | 2031617 | ||
| 1112 | Event | 284 | 2031619 | ||
| 1112 | Semaphore | 288 | 1048579 | ||
| 1112 | Semaphore | 292 | 1048579 | ||
| 1112 | ALPC Port | 296 | 2031617 | ||
| 1112 | Event | 304 | 2031619 | ||
| 1112 | EtwRegistration | 308 | 2052 | ||
| 1112 | EtwRegistration | 312 | 2052 | ||
| 1112 | KeyedEvent | 316 | 983043 | ||
| 1112 | EtwRegistration | 320 | 2052 | ||
| 1112 | EtwRegistration | 324 | 2052 | ||
| 1112 | LRPC-cee8901282d71696b1 | ALPC Port | 328 | 2031617 | |
| 1112 | \Device\PcwDrv | File | 332 | 1 | |
| 1112 | PcwObject | 336 | 3 | ||
| 1112 | PcwObject | 340 | 3 | ||
| 1112 | PcwObject | 344 | 3 | ||
| 1112 | PcwObject | 348 | 3 | ||
| 1112 | ALPC Port | 360 | 2031617 | ||
| 1112 | Event | 364 | 2031619 | ||
| 1112 | Event | 368 | 2031619 | ||
| 1112 | Event | 372 | 2031619 | ||
| 1112 | TID 1148 PID 1112 | Thread | 376 | 2097151 | |
| 1112 | Token | 380 | 8 | ||
| 1112 | BFE_Notify_Event_{25ceef01-ef3a-44c4-8813-e309d21ef3d5} | Event | 384 | 2031619 | |
| 1112 | ALPC Port | 388 | 2031617 | ||
| 1112 | Token | 392 | 8 | ||
| 1112 | BFE_Notify_Event_{4863dbeb-2ce5-4cf6-b0a7-f558dc78fa6b} | Event | 396 | 2031619 | |
| 1112 | Token | 400 | 8 | ||
| 1112 | BFE_Notify_Event_{8802ec60-2010-48fa-9d6f-3771353a2b48} | Event | 404 | 2031619 | |
| 1152 | KnownDlls | Directory | 4 | 3 | |
| 1152 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 1152 | ALPC Port | 20 | 2031617 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 1152 | EtwRegistration | 28 | 2052 | ||
| 1152 | EtwRegistration | 32 | 2052 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 1152 | Event | 40 | 35586051 | ||
| 1152 | Service-0x0-3e4$ | WindowStation | 44 | 983150 | |
| 1152 | Default | Desktop | 48 | 983247 | |
| 1152 | Service-0x0-3e4$ | WindowStation | 52 | 983150 | |
| 1152 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 56 | 1179785 | |
| 1152 | Event | 60 | 2031619 | ||
| 1152 | EtwRegistration | 64 | 2052 | ||
| 1152 | Event | 68 | 2031619 | ||
| 1152 | Event | 72 | 2031619 | ||
| 1152 | Event | 76 | 2031619 | ||
| 1152 | Event | 80 | 2031619 | ||
| 1152 | Event | 84 | 2031619 | ||
| 1152 | BaseNamedObjects | Directory | 88 | 15 | |
| 1152 | Event | 92 | 2031619 | ||
| 1152 | Event | 96 | 2031619 | ||
| 1152 | \Device\KsecDD | File | 100 | 1048577 | |
| 1152 | Event | 104 | 2031619 | ||
| 1152 | Event | 108 | 2031619 | ||
| 1152 | Event | 112 | 2031619 | ||
| 1152 | EtwRegistration | 116 | 2052 | ||
| 1152 | EtwRegistration | 120 | 2052 | ||
| 1152 | Event | 124 | 2031619 | ||
| 1152 | TID 1156 PID 1152 | Thread | 128 | 2097151 | |
| 1152 | KeyedEvent | 136 | 983043 | ||
| 1152 | IoCompletion | 140 | 2031619 | ||
| 1152 | TpWorkerFactory | 144 | 983295 | ||
| 1152 | Timer | 148 | 1048578 | ||
| 1152 | Timer | 152 | 2031619 | ||
| 1152 | TID 1160 PID 1152 | Thread | 156 | 2097151 | |
| 1152 | TID 1160 PID 1152 | Thread | 160 | 2097151 | |
| 1152 | Timer | 164 | 1048578 | ||
| 1152 | ALPC Port | 168 | 2031617 | ||
| 1152 | Event | 172 | 2031619 | ||
| 1152 | Mutant | 176 | 2031617 | ||
| 1152 | Event | 180 | 2031619 | ||
| 1152 | Token | 184 | 72 | ||
| 1152 | ALPC Port | 188 | 2031617 | ||
| 1152 | Event | 192 | 2031619 | ||
| 1152 | Event | 196 | 2031619 | ||
| 1152 | TID 1164 PID 1152 | Thread | 200 | 2097151 | |
| 1152 | Event | 204 | 2031619 | ||
| 1152 | USER\S-1-5-20\CONTROL PANEL\INTERNATIONAL | Key | 208 | 131097 | |
| 1152 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 212 | 131097 | |
| 1152 | Event | 216 | 2031619 | ||
| 1152 | Event | 220 | 2031619 | ||
| 1152 | Event | 224 | 2031619 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 228 | 131097 | |
| 1152 | \Device\NamedPipe\keysvc | File | 236 | 1180063 | |
| 1152 | Event | 240 | 2031619 | ||
| 1152 | \Device\NamedPipe\keysvc | File | 244 | 1180063 | |
| 1152 | \Device\NamedPipe\keysvc | File | 248 | 1180063 | |
| 1152 | keysvc | ALPC Port | 252 | 2031617 | |
| 1152 | keysvc2 | ALPC Port | 256 | 2031617 | |
| 1152 | Event | 260 | 2031619 | ||
| 1152 | ALPC Port | 264 | 2031617 | ||
| 1152 | Event | 268 | 2031619 | ||
| 1152 | Event | 272 | 2031619 | ||
| 1152 | EtwRegistration | 276 | 2052 | ||
| 1152 | EtwRegistration | 280 | 2052 | ||
| 1152 | ALPC Port | 284 | 2031617 | ||
| 1152 | \Device\HarddiskVolume2\Windows\System32\en-US\vsstrace.dll.mui | File | 288 | 1179785 | |
| 1152 | Event | 292 | 35586051 | ||
| 1152 | USER\S-1-5-20\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA | Key | 296 | 131097 | |
| 1152 | EtwRegistration | 300 | 2052 | ||
| 1152 | Event | 304 | 2031619 | ||
| 1152 | TID 1168 PID 1152 | Thread | 308 | 2097151 | |
| 1152 | EtwRegistration | 312 | 2052 | ||
| 1152 | EtwRegistration | 316 | 2052 | ||
| 1152 | Semaphore | 320 | 1048579 | ||
| 1152 | EtwRegistration | 324 | 2052 | ||
| 1152 | Semaphore | 328 | 2031619 | ||
| 1152 | Event | 332 | 2031619 | ||
| 1152 | Event | 336 | 2031619 | ||
| 1152 | Event | 340 | 2031619 | ||
| 1152 | Event | 344 | 2031619 | ||
| 1152 | Event | 348 | 2031619 | ||
| 1152 | NlaPrivatePort3 | Event | 352 | 2031619 | |
| 1152 | Event | 356 | 2031619 | ||
| 1152 | EtwRegistration | 360 | 2052 | ||
| 1152 | EtwRegistration | 364 | 2052 | ||
| 1152 | EtwRegistration | 368 | 2052 | ||
| 1152 | Event | 372 | 2031619 | ||
| 1152 | EtwRegistration | 376 | 2052 | ||
| 1152 | EtwRegistration | 380 | 2052 | ||
| 1152 | EtwRegistration | 384 | 2052 | ||
| 1152 | Event | 388 | 2031619 | ||
| 1152 | ALPC Port | 392 | 2031617 | ||
| 1152 | Event | 396 | 2031619 | ||
| 1152 | Event | 400 | 2031619 | ||
| 1152 | KeyedEvent | 404 | 983043 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 408 | 131097 | |
| 1152 | Semaphore | 412 | 1048579 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NLASVC\PARAMETERS | Key | 416 | 12 | |
| 1152 | Semaphore | 420 | 1048579 | ||
| 1152 | Semaphore | 424 | 1048579 | ||
| 1152 | Event | 428 | 2031619 | ||
| 1152 | ALPC Port | 432 | 2031617 | ||
| 1152 | Event | 436 | 2031619 | ||
| 1152 | Event | 440 | 2031619 | ||
| 1152 | Event | 444 | 2031619 | ||
| 1152 | Event | 448 | 2031619 | ||
| 1152 | Event | 452 | 2031619 | ||
| 1152 | Event | 456 | 2031619 | ||
| 1152 | Event | 460 | 2031619 | ||
| 1152 | Event | 464 | 2031619 | ||
| 1152 | Event | 468 | 2031619 | ||
| 1152 | Event | 472 | 2031619 | ||
| 1152 | Event | 476 | 2031619 | ||
| 1152 | Event | 480 | 2031619 | ||
| 1152 | Event | 484 | 2031619 | ||
| 1152 | Event | 488 | 2031619 | ||
| 1152 | Event | 492 | 2031619 | ||
| 1152 | Event | 496 | 2031619 | ||
| 1152 | Event | 500 | 2031619 | ||
| 1152 | Event | 504 | 2031619 | ||
| 1152 | Event | 508 | 2031619 | ||
| 1152 | Event | 512 | 2031619 | ||
| 1152 | Event | 516 | 2031619 | ||
| 1152 | Event | 520 | 2031619 | ||
| 1152 | Event | 524 | 2031619 | ||
| 1152 | Event | 528 | 2031619 | ||
| 1152 | nlaplg | ALPC Port | 532 | 2031617 | |
| 1152 | Event | 536 | 2031619 | ||
| 1152 | Event | 540 | 2031619 | ||
| 1152 | Event | 544 | 2031619 | ||
| 1152 | Event | 548 | 2031619 | ||
| 1152 | Event | 552 | 2031619 | ||
| 1152 | Event | 556 | 2031619 | ||
| 1152 | Event | 560 | 2031619 | ||
| 1152 | Event | 564 | 2031619 | ||
| 1152 | Event | 568 | 2031619 | ||
| 1152 | Event | 572 | 2031619 | ||
| 1152 | Event | 576 | 2031619 | ||
| 1152 | Event | 580 | 2031619 | ||
| 1152 | Event | 584 | 2031619 | ||
| 1152 | Event | 588 | 2031619 | ||
| 1152 | Event | 592 | 2031619 | ||
| 1152 | Event | 596 | 2031619 | ||
| 1152 | EtwRegistration | 600 | 2052 | ||
| 1152 | Event | 604 | 2031619 | ||
| 1152 | IoCompletion | 608 | 2031619 | ||
| 1152 | TpWorkerFactory | 612 | 983295 | ||
| 1152 | TID 1196 PID 1152 | Thread | 616 | 16 | |
| 1152 | Event | 620 | 2031619 | ||
| 1152 | TID 1196 PID 1152 | Thread | 624 | 2097151 | |
| 1152 | Event | 628 | 2031619 | ||
| 1152 | Event | 632 | 2031619 | ||
| 1152 | Event | 636 | 2031619 | ||
| 1152 | Event | 640 | 2031619 | ||
| 1152 | Event | 644 | 2031619 | ||
| 1152 | Event | 648 | 2031619 | ||
| 1152 | Event | 652 | 2031619 | ||
| 1152 | Event | 656 | 2031619 | ||
| 1152 | Event | 660 | 2031619 | ||
| 1152 | TID 1200 PID 1152 | Thread | 664 | 2097151 | |
| 1152 | \Device\Nsi | File | 668 | 1048704 | |
| 1152 | Event | 672 | 2031619 | ||
| 1152 | ALPC Port | 676 | 2031617 | ||
| 1152 | Event | 680 | 2031619 | ||
| 1152 | Event | 684 | 2031619 | ||
| 1152 | Event | 688 | 2031619 | ||
| 1152 | Event | 692 | 2031619 | ||
| 1152 | Event | 696 | 2031619 | ||
| 1152 | Event | 700 | 2031619 | ||
| 1152 | Event | 704 | 2031619 | ||
| 1152 | Event | 708 | 2031619 | ||
| 1152 | Event | 712 | 2031619 | ||
| 1152 | ALPC Port | 716 | 2031617 | ||
| 1152 | \Device\WMIDataDevice | File | 720 | 1180063 | |
| 1152 | Event | 724 | 2031619 | ||
| 1152 | WmiGuid | 728 | 4 | ||
| 1152 | \Device\WMIDataDevice | File | 732 | 1180063 | |
| 1152 | Event | 736 | 2031619 | ||
| 1152 | svchost.exe(1152) | Process | 740 | 2097151 | |
| 1152 | Event | 744 | 2031619 | ||
| 1152 | Event | 748 | 2031619 | ||
| 1152 | TID 2296 PID 1152 | Thread | 752 | 2097151 | |
| 1152 | WmiGuid | 756 | 4 | ||
| 1152 | NlaPrivatePort | Event | 760 | 2031619 | |
| 1152 | TID 2296 PID 1152 | Thread | 764 | 2097151 | |
| 1152 | EtwRegistration | 768 | 2052 | ||
| 1152 | nlaapi | ALPC Port | 772 | 2031617 | |
| 1152 | Event | 780 | 2031619 | ||
| 1152 | Semaphore | 784 | 1048579 | ||
| 1152 | Event | 788 | 2031619 | ||
| 1152 | Semaphore | 792 | 1048579 | ||
| 1152 | Event | 796 | 2031619 | ||
| 1152 | \Device\KsecDD | File | 800 | 1048579 | |
| 1152 | Mutant | 804 | 2031617 | ||
| 1152 | \Device\HarddiskVolume2\Windows\System32\en-US\dnsapi.dll.mui | File | 808 | 1179785 | |
| 1152 | EtwRegistration | 812 | 2052 | ||
| 1152 | Event | 816 | 2031619 | ||
| 1152 | Event | 820 | 2031619 | ||
| 1152 | Event | 824 | 2031619 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\VSS\DIAG\SYSTEM WRITER | Key | 828 | 131103 | |
| 1152 | OLE06382FE6B269426682C314865D46 | ALPC Port | 832 | 2031617 | |
| 1152 | ALPC Port | 836 | 2031617 | ||
| 1152 | EtwRegistration | 840 | 2052 | ||
| 1152 | __ComCatalogCache__ | Section | 848 | 4 | |
| 1152 | __ComCatalogCache__ | Section | 852 | 4 | |
| 1152 | MACHINE\SOFTWARE\CLASSES | Key | 856 | 131097 | |
| 1152 | MaximumCommitCondition | Event | 860 | 1048577 | |
| 1152 | Event | 864 | 2031619 | ||
| 1152 | Event | 868 | 2031619 | ||
| 1152 | Event | 872 | 2031619 | ||
| 1152 | EtwRegistration | 876 | 2052 | ||
| 1152 | EtwRegistration | 884 | 2052 | ||
| 1152 | Event | 888 | 2031619 | ||
| 1152 | Event | 892 | 2031619 | ||
| 1152 | Event | 896 | 2031619 | ||
| 1152 | Event | 900 | 2031619 | ||
| 1152 | Event | 904 | 2031619 | ||
| 1152 | Event | 908 | 2031619 | ||
| 1152 | Event | 912 | 2031619 | ||
| 1152 | Event | 916 | 2031619 | ||
| 1152 | Event | 920 | 2031619 | ||
| 1152 | Event | 924 | 2031619 | ||
| 1152 | Event | 928 | 2031619 | ||
| 1152 | Event | 932 | 2031619 | ||
| 1152 | Event | 936 | 2031619 | ||
| 1152 | Event | 940 | 2031619 | ||
| 1152 | Event | 944 | 2031619 | ||
| 1152 | Event | 948 | 2031619 | ||
| 1152 | TID 1584 PID 1152 | Thread | 952 | 2097151 | |
| 1152 | Event | 956 | 2031619 | ||
| 1152 | Event | 960 | 2031619 | ||
| 1152 | EtwRegistration | 964 | 2052 | ||
| 1152 | Event | 968 | 2031619 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\NLASVC\PARAMETERS\INTERNET | Key | 972 | 131097 | |
| 1152 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\NETWORKCONNECTIVITYSTATUSINDICATOR | Key | 976 | 131097 | |
| 1152 | Event | 980 | 2031619 | ||
| 1152 | EtwRegistration | 984 | 2052 | ||
| 1152 | EtwRegistration | 988 | 2052 | ||
| 1152 | EtwRegistration | 992 | 2052 | ||
| 1152 | EtwRegistration | 996 | 2052 | ||
| 1152 | Event | 1000 | 2031619 | ||
| 1152 | EtwRegistration | 1004 | 2052 | ||
| 1152 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 1008 | 1179785 | |
| 1152 | EtwRegistration | 1012 | 2052 | ||
| 1152 | EtwRegistration | 1016 | 2052 | ||
| 1152 | EtwRegistration | 1020 | 2052 | ||
| 1152 | EtwRegistration | 1024 | 2052 | ||
| 1152 | Semaphore | 1028 | 1048579 | ||
| 1152 | Semaphore | 1032 | 1048579 | ||
| 1152 | EtwRegistration | 1036 | 2052 | ||
| 1152 | EtwRegistration | 1040 | 2052 | ||
| 1152 | EtwRegistration | 1044 | 2052 | ||
| 1152 | EtwRegistration | 1048 | 2052 | ||
| 1152 | EtwRegistration | 1052 | 2052 | ||
| 1152 | Event | 1056 | 2031619 | ||
| 1152 | Event | 1060 | 2031619 | ||
| 1152 | EtwRegistration | 1064 | 2052 | ||
| 1152 | Event | 1068 | 2031619 | ||
| 1152 | EtwRegistration | 1072 | 2052 | ||
| 1152 | EtwRegistration | 1076 | 2052 | ||
| 1152 | Event | 1080 | 2031619 | ||
| 1152 | EtwRegistration | 1084 | 2052 | ||
| 1152 | EtwRegistration | 1088 | 2052 | ||
| 1152 | TID 1164 PID 1152 | Thread | 1092 | 2097151 | |
| 1152 | Event | 1096 | 2031619 | ||
| 1152 | EtwRegistration | 1100 | 2052 | ||
| 1152 | EtwRegistration | 1104 | 2052 | ||
| 1152 | Event | 1108 | 2031619 | ||
| 1152 | Event | 1112 | 2031619 | ||
| 1152 | Event | 1116 | 2031619 | ||
| 1152 | Event | 1120 | 2031619 | ||
| 1152 | TermSrvReadyEvent | Event | 1124 | 1048576 | |
| 1152 | Event | 1128 | 2031619 | ||
| 1152 | EtwRegistration | 1132 | 2052 | ||
| 1152 | TID 1168 PID 1152 | Thread | 1136 | 2097151 | |
| 1152 | Event | 1140 | 2031619 | ||
| 1152 | TID 1200 PID 1152 | Thread | 1148 | 2097151 | |
| 1152 | Event | 1152 | 2031619 | ||
| 1152 | Event | 1156 | 2031619 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\CRYPT32 | Key | 1160 | 131097 | |
| 1152 | \Device\HarddiskVolume2\Windows\System32\en-US\crypt32.dll.mui | File | 1168 | 1179785 | |
| 1152 | \Device\HarddiskVolume2\Users\Administrator\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData | File | 1172 | 1048577 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\CRYPTOGRAPHY\OID\ENCODINGTYPE 0\CERTDLLCREATECERTIFICATECHAINENGINE\CONFIG | Key | 1176 | 131097 | |
| 1152 | Semaphore | 1180 | 1048579 | ||
| 1152 | ALPC Port | 1184 | 2031617 | ||
| 1152 | Semaphore | 1192 | 1048579 | ||
| 1152 | \Device\HarddiskVolume2\Windows\System32\en-US\winhttp.dll.mui | File | 1196 | 1179785 | |
| 1152 | USER\S-1-5-20\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\MY | Key | 1200 | 131097 | |
| 1152 | Event | 1204 | 2031619 | ||
| 1152 | USER\S-1-5-20 | Key | 1208 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\CA | Key | 1212 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA | Key | 1216 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED | Key | 1220 | 131097 | |
| 1152 | EtwRegistration | 1228 | 2052 | ||
| 1152 | USER\S-1-5-20\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED | Key | 1236 | 131097 | |
| 1152 | USER\S-1-5-20 | Key | 1240 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\DISALLOWED | Key | 1244 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT | Key | 1248 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT | Key | 1252 | 131097 | |
| 1152 | USER\S-1-5-20 | Key | 1256 | 131097 | |
| 1152 | USER\S-1-5-20\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT | Key | 1260 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\ROOT | Key | 1264 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\SMARTCARDROOT | Key | 1268 | 131097 | |
| 1152 | USER\S-1-5-20\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDPEOPLE | Key | 1272 | 131097 | |
| 1152 | USER\S-1-5-20\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\SMARTCARDROOT | Key | 1276 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\TRUSTEDPEOPLE | Key | 1280 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDPEOPLE | Key | 1284 | 131097 | |
| 1152 | USER\S-1-5-20 | Key | 1288 | 131097 | |
| 1152 | USER\S-1-5-20\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUST | Key | 1292 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\TRUST | Key | 1296 | 131097 | |
| 1152 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUST | Key | 1300 | 131097 | |
| 1152 | Event | 1304 | 2031619 | ||
| 1152 | Event | 1308 | 2031619 | ||
| 1152 | Event | 1312 | 2031619 | ||
| 1152 | Event | 1316 | 2031619 | ||
| 1152 | Event | 1320 | 2031619 | ||
| 1152 | Event | 1324 | 2031619 | ||
| 1152 | Event | 1328 | 2031619 | ||
| 1152 | Event | 1332 | 2031619 | ||
| 1152 | Event | 1336 | 2031619 | ||
| 1152 | Event | 1340 | 2031619 | ||
| 1152 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 1344 | 131097 | |
| 1152 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 1348 | 131097 | |
| 1152 | Event | 1352 | 2031619 | ||
| 1152 | Event | 1356 | 2031619 | ||
| 1152 | Event | 1360 | 2031619 | ||
| 1152 | ALPC Port | 1364 | 2031617 | ||
| 1152 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES | Key | 1368 | 131097 | |
| 1152 | Event | 1372 | 2031619 | ||
| 1152 | Event | 1376 | 2031619 | ||
| 1152 | Event | 1380 | 2031619 | ||
| 1152 | Event | 1384 | 2031619 | ||
| 1152 | Event | 1388 | 2031619 | ||
| 1152 | Event | 1392 | 2031619 | ||
| 1152 | Event | 1396 | 2031619 | ||
| 1152 | Event | 1400 | 2031619 | ||
| 1152 | Event | 1404 | 2031619 | ||
| 1152 | Event | 1408 | 2031619 | ||
| 1152 | Event | 1412 | 2031619 | ||
| 1152 | Event | 1416 | 2031619 | ||
| 1152 | USER\S-1-5-20\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES | Key | 1420 | 131097 | |
| 1152 | Event | 1424 | 2031619 | ||
| 1152 | Event | 1428 | 2031619 | ||
| 1152 | Event | 1432 | 2031619 | ||
| 1152 | Event | 1436 | 2031619 | ||
| 1152 | Event | 1440 | 2031619 | ||
| 1152 | Event | 1444 | 2031619 | ||
| 1152 | Event | 1448 | 2031619 | ||
| 1152 | Event | 1452 | 2031619 | ||
| 1152 | Event | 1456 | 2031619 | ||
| 1152 | Event | 1460 | 2031619 | ||
| 1152 | Event | 1464 | 2031619 | ||
| 1152 | Event | 1468 | 2031619 | ||
| 1152 | Event | 1472 | 2031619 | ||
| 1152 | Event | 1476 | 2031619 | ||
| 1152 | \Device\HarddiskVolume2\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SystemCertificates\My | File | 1480 | 1048577 | |
| 1152 | Event | 1484 | 2031619 | ||
| 1152 | Event | 1488 | 2031619 | ||
| 1152 | Event | 1492 | 2031619 | ||
| 1152 | Event | 1496 | 2031619 | ||
| 1152 | Event | 1500 | 2031619 | ||
| 1152 | Event | 1504 | 2031619 | ||
| 1152 | Event | 1508 | 2031619 | ||
| 1152 | Event | 1512 | 2031619 | ||
| 1152 | Event | 1516 | 2031619 | ||
| 1152 | Event | 1520 | 2031619 | ||
| 1152 | Event | 1524 | 2031619 | ||
| 1152 | Event | 1528 | 2031619 | ||
| 1152 | Event | 1532 | 2031619 | ||
| 1152 | Event | 1536 | 2031619 | ||
| 1152 | Event | 1540 | 2031619 | ||
| 1152 | Event | 1544 | 2031619 | ||
| 1152 | Event | 1548 | 2031619 | ||
| 1152 | IoCompletion | 1552 | 2031619 | ||
| 1152 | TID 1176 PID 1152 | Thread | 1556 | 33556544 | |
| 1152 | \Device\HarddiskVolume2\Windows\System32\catroot2\edb.log | File | 1560 | 34734495 | |
| 1152 | TID 1176 PID 1152 | Thread | 1564 | 33556544 | |
| 1152 | Event | 1568 | 35586051 | ||
| 1152 | Event | 1572 | 2031619 | ||
| 1152 | \Device\HarddiskVolume2\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb | File | 1576 | 34734495 | |
| 1152 | Section | 1580 | 983047 | ||
| 1152 | Event | 1584 | 2031619 | ||
| 1152 | Event | 1588 | 35586051 | ||
| 1152 | TID 176 PID 1152 | Thread | 1592 | 35651583 | |
| 1152 | TID 176 PID 1152 | Thread | 1596 | 33556544 | |
| 1152 | \Device\HarddiskVolume2\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb | File | 1600 | 34734495 | |
| 1152 | Section | 1604 | 983047 | ||
| 1448 | KnownDlls | Directory | 4 | 3 | |
| 1448 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1448 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 1448 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 1448 | ALPC Port | 20 | 2031617 | ||
| 1448 | Event | 24 | 35586051 | ||
| 1448 | WinSta0 | WindowStation | 28 | 983935 | |
| 1448 | Default | Desktop | 32 | 983551 | |
| 1448 | WinSta0 | WindowStation | 36 | 983935 | |
| 1448 | \Device\HarddiskVolume2\Windows\System32\en-US\dwm.exe.mui | File | 40 | 1179785 | |
| 1448 | MACHINE | Key | 44 | 983103 | |
| 1448 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 48 | 131097 | |
| 1448 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 52 | 1 | |
| 1448 | EtwRegistration | 56 | 2052 | ||
| 1448 | EtwRegistration | 60 | 2052 | ||
| 1448 | EtwRegistration | 64 | 2052 | ||
| 1448 | Mutant | 68 | 2031617 | ||
| 1448 | Event | 72 | 2031619 | ||
| 1448 | EtwRegistration | 76 | 2052 | ||
| 1448 | Event | 80 | 2031619 | ||
| 1448 | Event | 84 | 2031619 | ||
| 1448 | Event | 88 | 2031619 | ||
| 1448 | Event | 92 | 2031619 | ||
| 1448 | Event | 96 | 2031619 | ||
| 1448 | Event | 100 | 2031619 | ||
| 1448 | BaseNamedObjects | Directory | 104 | 15 | |
| 1448 | EtwRegistration | 108 | 2052 | ||
| 1448 | EtwRegistration | 112 | 2052 | ||
| 1448 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 116 | 983103 | |
| 1448 | EtwRegistration | 120 | 2052 | ||
| 1448 | EtwRegistration | 124 | 2052 | ||
| 1448 | EtwRegistration | 128 | 2052 | ||
| 1448 | EtwRegistration | 132 | 2052 | ||
| 1448 | Mutant | 136 | 2031617 | ||
| 1448 | EtwRegistration | 140 | 2052 | ||
| 1448 | EtwRegistration | 144 | 2052 | ||
| 1448 | Event | 148 | 2031619 | ||
| 1448 | Event | 152 | 2031619 | ||
| 1448 | Mutant | 156 | 2031617 | ||
| 1448 | ALPC Port | 160 | 2031617 | ||
| 1448 | Section | 164 | 4 | ||
| 1448 | Event | 168 | 2031619 | ||
| 1448 | Dwm-744A-ApiPort-7733 | ALPC Port | 172 | 2031617 | |
| 1448 | TID 1456 PID 1448 | Thread | 176 | 2097151 | |
| 1448 | ALPC Port | 180 | 2031617 | ||
| 1448 | svchost.exe(788) | Process | 184 | 1048576 | |
| 1448 | Timer | 188 | 2031619 | ||
| 1448 | TID 1468 PID 1448 | Thread | 192 | 2097151 | |
| 1448 | TID 1468 PID 1448 | Thread | 196 | 2097151 | |
| 1448 | KeyedEvent | 200 | 983043 | ||
| 1448 | IoCompletion | 204 | 2031619 | ||
| 1448 | TpWorkerFactory | 208 | 983295 | ||
| 1448 | Event | 212 | 35586051 | ||
| 1448 | ALPC Port | 216 | 2031617 | ||
| 1448 | ALPC Port | 220 | 2031617 | ||
| 1448 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 232 | 983103 | |
| 1448 | ALPC Port | 236 | 2031617 | ||
| 1448 | Timer | 240 | 1048578 | ||
| 1448 | Timer | 244 | 1048578 | ||
| 1448 | ALPC Port | 248 | 2031617 | ||
| 1448 | Event | 268 | 2031619 | ||
| 1448 | Event | 272 | 2031619 | ||
| 1448 | Event | 276 | 2031619 | ||
| 1448 | EtwRegistration | 280 | 2052 | ||
| 1448 | EtwRegistration | 284 | 2052 | ||
| 1448 | Event | 288 | 2031619 | ||
| 1448 | TID 1452 PID 1448 | Thread | 292 | 2097151 | |
| 1448 | ALPC Port | 296 | 2031617 | ||
| 1448 | ALPC Port | 320 | 2031617 | ||
| 1448 | ALPC Port | 324 | 2031617 | ||
| 1448 | Mutant | 332 | 2031617 | ||
| 1448 | Event | 336 | 2031619 | ||
| 1448 | Mutant | 340 | 2031617 | ||
| 1448 | Event | 344 | 2031619 | ||
| 1448 | Event | 348 | 2031619 | ||
| 1460 | KnownDlls | Directory | 4 | 3 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca | File | 12 | 1048608 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 16 | 9 | |
| 1460 | ALPC Port | 20 | 2031617 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 24 | 9 | |
| 1460 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 28 | 131097 | |
| 1460 | Mutant | 32 | 2031617 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\MSF\REGISTRATION\LISTEN | Key | 36 | 131097 | |
| 1460 | Event | 40 | 2031619 | ||
| 1460 | Event | 44 | 35586051 | ||
| 1460 | WinSta0 | WindowStation | 48 | 983935 | |
| 1460 | Default | Desktop | 52 | 983551 | |
| 1460 | WinSta0 | WindowStation | 56 | 983935 | |
| 1460 | \Device\HarddiskVolume2\Windows\en-US\explorer.exe.mui | File | 60 | 1179785 | |
| 1460 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 64 | 1 | |
| 1460 | EtwRegistration | 68 | 2052 | ||
| 1460 | EtwRegistration | 72 | 2052 | ||
| 1460 | EtwRegistration | 76 | 2052 | ||
| 1460 | EtwRegistration | 80 | 2052 | ||
| 1460 | EtwRegistration | 84 | 2052 | ||
| 1460 | EtwRegistration | 88 | 2052 | ||
| 1460 | EtwRegistration | 92 | 2052 | ||
| 1460 | EtwRegistration | 96 | 2052 | ||
| 1460 | Event | 100 | 2031619 | ||
| 1460 | Event | 104 | 2031619 | ||
| 1460 | Event | 108 | 2031619 | ||
| 1460 | Event | 112 | 2031619 | ||
| 1460 | Event | 116 | 2031619 | ||
| 1460 | Event | 120 | 2031619 | ||
| 1460 | BaseNamedObjects | Directory | 124 | 15 | |
| 1460 | EtwRegistration | 128 | 2052 | ||
| 1460 | EtwRegistration | 132 | 2052 | ||
| 1460 | EtwRegistration | 136 | 2052 | ||
| 1460 | EtwRegistration | 140 | 2052 | ||
| 1460 | EtwRegistration | 144 | 2052 | ||
| 1460 | EtwRegistration | 148 | 2052 | ||
| 1460 | EtwRegistration | 152 | 2052 | ||
| 1460 | EtwRegistration | 156 | 2052 | ||
| 1460 | EtwRegistration | 160 | 2052 | ||
| 1460 | EtwRegistration | 164 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 168 | 1179785 | |
| 1460 | Event | 172 | 2031619 | ||
| 1460 | Mutant | 176 | 2031617 | ||
| 1460 | Event | 180 | 2031619 | ||
| 1460 | Mutant | 184 | 2031617 | ||
| 1460 | EtwRegistration | 188 | 2052 | ||
| 1460 | EtwRegistration | 192 | 2052 | ||
| 1460 | Semaphore | 196 | 1048579 | ||
| 1460 | Semaphore | 200 | 1048579 | ||
| 1460 | EtwRegistration | 204 | 2052 | ||
| 1460 | EtwRegistration | 208 | 2052 | ||
| 1460 | Event | 212 | 2031619 | ||
| 1460 | Event | 216 | 2031619 | ||
| 1460 | Event | 220 | 2031619 | ||
| 1460 | EtwRegistration | 224 | 2052 | ||
| 1460 | EtwRegistration | 228 | 2052 | ||
| 1460 | Event | 232 | 2031619 | ||
| 1460 | TID 1464 PID 1460 | Thread | 236 | 2097151 | |
| 1460 | TID 3060 PID 1460 | Thread | 240 | 2097151 | |
| 1460 | KeyedEvent | 244 | 983043 | ||
| 1460 | IoCompletion | 248 | 2031619 | ||
| 1460 | TpWorkerFactory | 252 | 983295 | ||
| 1460 | Timer | 256 | 1048578 | ||
| 1460 | Timer | 260 | 2031619 | ||
| 1460 | TID 1472 PID 1460 | Thread | 264 | 2097151 | |
| 1460 | TID 1472 PID 1460 | Thread | 268 | 2097151 | |
| 1460 | Timer | 272 | 1048578 | ||
| 1460 | windows_shell_global_counters | Section | 276 | 6 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 280 | 983103 | |
| 1460 | ALPC Port | 284 | 2031617 | ||
| 1460 | Section | 288 | 4 | ||
| 1460 | EtwRegistration | 292 | 2052 | ||
| 1460 | EtwRegistration | 296 | 2052 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER | Key | 300 | 983103 | |
| 1460 | Event | 304 | 2031619 | ||
| 1460 | Event | 308 | 2031619 | ||
| 1460 | Event | 312 | 2031619 | ||
| 1460 | \Device\KsecDD | File | 316 | 1048577 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER | Key | 320 | 131097 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 324 | 1048608 | |
| 1460 | EtwRegistration | 328 | 2052 | ||
| 1460 | EtwRegistration | 332 | 2052 | ||
| 1460 | __ComCatalogCache__ | Section | 336 | 4 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 340 | 983103 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER | Key | 344 | 1 | |
| 1460 | EtwRegistration | 348 | 2052 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 352 | 8 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 356 | 8 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 360 | 983103 | |
| 1460 | MaximumCommitCondition | Event | 364 | 1048577 | |
| 1460 | __ComCatalogCache__ | Section | 368 | 4 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 372 | 1048608 | |
| 1460 | EtwRegistration | 376 | 2052 | ||
| 1460 | EtwRegistration | 380 | 2052 | ||
| 1460 | EtwRegistration | 384 | 2052 | ||
| 1460 | Semaphore | 388 | 1048579 | ||
| 1460 | Semaphore | 392 | 1048579 | ||
| 1460 | Semaphore | 396 | 1048579 | ||
| 1460 | Semaphore | 400 | 1048579 | ||
| 1460 | ALPC Port | 404 | 2031617 | ||
| 1460 | EtwRegistration | 408 | 2052 | ||
| 1460 | EtwRegistration | 412 | 2052 | ||
| 1460 | EtwRegistration | 416 | 2052 | ||
| 1460 | EtwRegistration | 420 | 2052 | ||
| 1460 | EtwRegistration | 424 | 2052 | ||
| 1460 | EtwRegistration | 428 | 2052 | ||
| 1460 | Semaphore | 432 | 1048579 | ||
| 1460 | Semaphore | 436 | 1048579 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{B4BFCC3A-DB2C-424C-B029-7FE99A87C641}\PROPERTYBAG | Key | 440 | 131097 | |
| 1460 | Mutant | 444 | 2031617 | ||
| 1460 | ALPC Port | 448 | 2031617 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 452 | 1048608 | |
| 1460 | Event | 456 | 2031619 | ||
| 1460 | ALPC Port | 460 | 2031617 | ||
| 1460 | EtwRegistration | 464 | 2052 | ||
| 1460 | TID 1880 PID 1460 | Thread | 468 | 2097151 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\shell32.dll.mui | File | 472 | 1179785 | |
| 1460 | OLE7A06C063F0B84F25903385CDF3FC | ALPC Port | 476 | 2031617 | |
| 1460 | Event | 480 | 2031619 | ||
| 1460 | ALPC Port | 484 | 2031617 | ||
| 1460 | Event | 500 | 2031619 | ||
| 1460 | Event | 504 | 2031619 | ||
| 1460 | Semaphore | 508 | 2031619 | ||
| 1460 | Event | 512 | 2031619 | ||
| 1460 | Event | 516 | 2031619 | ||
| 1460 | TID 1548 PID 1460 | Thread | 520 | 2097151 | |
| 1460 | Event | 524 | 35586051 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 528 | 1048608 | |
| 1460 | Event | 532 | 2031619 | ||
| 1460 | TID 1552 PID 1460 | Thread | 536 | 2097151 | |
| 1460 | Event | 540 | 35586051 | ||
| 1460 | Event | 544 | 2031619 | ||
| 1460 | Event | 548 | 2031619 | ||
| 1460 | Event | 552 | 2031619 | ||
| 1460 | Event | 556 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 560 | 1048608 | |
| 1460 | EtwRegistration | 564 | 2052 | ||
| 1460 | EtwRegistration | 568 | 2052 | ||
| 1460 | EtwRegistration | 572 | 2052 | ||
| 1460 | Event | 576 | 2031619 | ||
| 1460 | Mutant | 580 | 2031617 | ||
| 1460 | Event | 584 | 2031619 | ||
| 1460 | Mutant | 588 | 2031617 | ||
| 1460 | ALPC Port | 592 | 2031617 | ||
| 1460 | EtwRegistration | 596 | 2052 | ||
| 1460 | ALPC Port | 600 | 2031617 | ||
| 1460 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 604 | 131097 | |
| 1460 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 608 | 131097 | |
| 1460 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 612 | 131097 | |
| 1460 | \Device\HarddiskVolume2\Windows\Fonts\StaticCache.dat | File | 616 | 1179785 | |
| 1460 | Section | 620 | 983045 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.c..-controls.resources_6595b64144ccf1df_6.0.7600.16385_en-us_581cd2bf5825dde9 | File | 624 | 1048608 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.c..-controls.resources_6595b64144ccf1df_6.0.7600.16385_en-us_581cd2bf5825dde9\comctl32.dll.mui | File | 628 | 1179785 | |
| 1460 | windows_shell_global_counters | Section | 632 | 6 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 640 | 1048608 | |
| 1460 | Event | 644 | 2031619 | ||
| 1460 | Event | 648 | 2031619 | ||
| 1460 | Event | 652 | 35586051 | ||
| 1460 | Event | 656 | 2031619 | ||
| 1460 | Event | 660 | 2031619 | ||
| 1460 | TID 1600 PID 1460 | Thread | 664 | 2097151 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 668 | 1048608 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\explorerframe.dll.mui | File | 672 | 1179785 | |
| 1460 | Semaphore | 676 | 2031619 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS | Key | 680 | 131097 | |
| 1460 | EtwRegistration | 684 | 2052 | ||
| 1460 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 688 | 4 | |
| 1460 | EtwRegistration | 692 | 2052 | ||
| 1460 | C:*ProgramData*Microsoft*Windows*Caches*{6AF0698E-D558-4F6E-9B3C-3716689AF493}.2.ver0x0000000000000003.db | Section | 696 | 4 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\PROPERTYBAG | Key | 700 | 131097 | |
| 1460 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 704 | 4 | |
| 1460 | C:*ProgramData*Microsoft*Windows*Caches*{DDF571F2-BE98-426D-8288-1A9A39C3FDA2}.2.ver0x0000000000000001.db | Section | 708 | 4 | |
| 1460 | EtwRegistration | 712 | 2052 | ||
| 1460 | Semaphore | 716 | 2031619 | ||
| 1460 | USER | Key | 720 | 983103 | |
| 1460 | Mutant | 724 | 2031617 | ||
| 1460 | Event | 728 | 2031619 | ||
| 1460 | EtwRegistration | 732 | 2052 | ||
| 1460 | EtwRegistration | 740 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 744 | 1048608 | |
| 1460 | EtwRegistration | 748 | 2052 | ||
| 1460 | EtwRegistration | 752 | 2052 | ||
| 1460 | EtwRegistration | 756 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu | File | 760 | 1048705 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{D65231B0-B2F1-4857-A4CE-A8E7C6EA7D27}\PROPERTYBAG | Key | 764 | 131097 | |
| 1460 | Event | 768 | 2031619 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{F38BF404-1D43-42F2-9305-67DE0B28FC23}\PROPERTYBAG | Key | 772 | 131097 | |
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu | File | 784 | 1048705 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{905E63B6-C1BF-494E-B29C-65B732D3D21A}\PROPERTYBAG | Key | 788 | 131097 | |
| 1460 | EtwRegistration | 800 | 2052 | ||
| 1460 | EtwRegistration | 804 | 2052 | ||
| 1460 | EtwRegistration | 808 | 2052 | ||
| 1460 | ALPC Port | 812 | 2031617 | ||
| 1460 | Event | 816 | 2031619 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{FDD39AD0-238F-46AF-ADB4-6C85480369C7}\PROPERTYBAG | Key | 820 | 131097 | |
| 1460 | TID 1600 PID 1460 | Thread | 824 | 2 | |
| 1460 | TID 4044 PID 1460 | Thread | 832 | 2097151 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\PROPERTYBAG | Key | 836 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{FD228CB7-AE11-4AE3-864C-16F3910AB8FE}\PROPERTYBAG | Key | 840 | 131097 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\authui.dll.mui | File | 844 | 1179785 | |
| 1460 | Event | 848 | 2031619 | ||
| 1460 | Semaphore | 852 | 2031619 | ||
| 1460 | EtwRegistration | 856 | 2052 | ||
| 1460 | Semaphore | 860 | 2031619 | ||
| 1460 | Event | 864 | 2031619 | ||
| 1460 | Event | 872 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\ActionCenter.dll.mui | File | 876 | 1179785 | |
| 1460 | EtwRegistration | 880 | 2052 | ||
| 1460 | Event | 888 | 2031619 | ||
| 1460 | MidiMapper_modLongMessage_RefCnt | Mutant | 892 | 2031617 | |
| 1460 | EtwRegistration | 896 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Libraries | File | 900 | 1048705 | |
| 1460 | EtwRegistration | 904 | 2052 | ||
| 1460 | Event | 908 | 35586051 | ||
| 1460 | EtwRegistration | 912 | 2052 | ||
| 1460 | ALTTAB_RUNNING_MUTEX | Mutant | 916 | 2031617 | |
| 1460 | Mutant | 920 | 2031617 | ||
| 1460 | EtwRegistration | 924 | 2052 | ||
| 1460 | EtwRegistration | 928 | 2052 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL | Key | 932 | 131103 | |
| 1460 | Event | 936 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 940 | 1048608 | |
| 1460 | EtwRegistration | 944 | 2052 | ||
| 1460 | Event | 948 | 2031619 | ||
| 1460 | Event | 952 | 2031619 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\SHELL\BAGS\1\DESKTOP | Key | 956 | 131097 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\SHELL | Key | 960 | 131103 | |
| 1460 | Semaphore | 964 | 2031619 | ||
| 1460 | C:*ProgramData*Microsoft*Windows*Caches*{67D69890-D853-4011-A87E-AA64FA83CE5A}.2.ver0x0000000000000001.db | Section | 968 | 983045 | |
| 1460 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 972 | 4 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{52528A6B-B9E3-4ADD-B60D-588C2DBA842D}\PROPERTYBAG | Key | 976 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_UNC_SAVEDFILECHECK | Key | 980 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{2400183A-6185-49FB-A2D8-4A392A602BA3}\PROPERTYBAG | Key | 984 | 131097 | |
| 1460 | ZonesCounterMutex | Mutant | 988 | 2031617 | |
| 1460 | Event | 992 | 2031619 | ||
| 1460 | Mutant | 996 | 2031617 | ||
| 1460 | Event | 1000 | 2031619 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{F3CE0F7C-4901-4ACC-8648-D5D44B04EF8F}\PROPERTYBAG | Key | 1004 | 131097 | |
| 1460 | Event | 1008 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\ProgramData\Microsoft\Windows\Start Menu | File | 1012 | 1048705 | |
| 1460 | Event | 1020 | 2031619 | ||
| 1460 | Semaphore | 1024 | 1048579 | ||
| 1460 | Semaphore | 1028 | 1048579 | ||
| 1460 | Semaphore | 1032 | 1048579 | ||
| 1460 | Semaphore | 1036 | 1048579 | ||
| 1460 | Semaphore | 1040 | 1048579 | ||
| 1460 | Semaphore | 1044 | 1048579 | ||
| 1460 | Semaphore | 1048 | 1048579 | ||
| 1460 | Semaphore | 1052 | 1048579 | ||
| 1460 | MACHINE\SOFTWARE\POLICIES | Key | 1056 | 131097 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\POLICIES | Key | 1060 | 131097 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE | Key | 1064 | 131097 | |
| 1460 | MACHINE\SOFTWARE | Key | 1068 | 131097 | |
| 1460 | Default | Desktop | 1072 | 131263 | |
| 1460 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 1076 | 131097 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 1080 | 131097 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 1084 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 1088 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE | Key | 1092 | 131097 | |
| 1460 | UrlZonesSM_Administrator | Section | 1096 | 983047 | |
| 1460 | ZoneAttributeCacheCounterMutex | Mutant | 1100 | 2031617 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{7B0DB17D-9CD2-4A93-9733-46CC89022E7C}\PROPERTYBAG | Key | 1104 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{A990AE9F-A03B-4E80-94BC-9912D7504104}\PROPERTYBAG | Key | 1108 | 131097 | |
| 1460 | Event | 1116 | 35586051 | ||
| 1460 | Event | 1120 | 2031619 | ||
| 1460 | Event | 1124 | 35586051 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\propsys.dll.mui | File | 1128 | 1179785 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{ED4824AF-DCE4-45A8-81E2-FC7965083634}\PROPERTYBAG | Key | 1132 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_LOCALMACHINE_LOCKDOWN | Key | 1136 | 131097 | |
| 1460 | ZonesCacheCounterMutex | Mutant | 1140 | 2031617 | |
| 1460 | ZoneAttributeCacheCounterMutex | Mutant | 1144 | 2031617 | |
| 1460 | ZonesLockedCacheCounterMutex | Mutant | 1148 | 2031617 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_PROTOCOL_LOCKDOWN | Key | 1156 | 131097 | |
| 1460 | EtwRegistration | 1160 | 2052 | ||
| 1460 | Event | 1164 | 1048579 | ||
| 1460 | TID 1636 PID 1460 | Thread | 1168 | 2097151 | |
| 1460 | EtwRegistration | 1172 | 2052 | ||
| 1460 | EtwRegistration | 1180 | 2052 | ||
| 1460 | Event | 1188 | 2031619 | ||
| 1460 | Event | 1200 | 2031619 | ||
| 1460 | Event | 1208 | 2031619 | ||
| 1460 | Event | 1212 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db | File | 1220 | 1180063 | |
| 1460 | windows_shell_global_counters | Section | 1232 | 6 | |
| 1460 | EtwRegistration | 1236 | 2052 | ||
| 1460 | Event | 1248 | 2031619 | ||
| 1460 | Event | 1256 | 2031619 | ||
| 1460 | Event | 1276 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\Desktop | File | 1280 | 1048705 | |
| 1460 | Event | 1284 | 2031619 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{33E28130-4E1E-4676-835A-98395C3BC3BB}\PROPERTYBAG | Key | 1288 | 131097 | |
| 1460 | \Device\HarddiskVolume2\Users\Administrator\Desktop | File | 1292 | 1048705 | |
| 1460 | Event | 1296 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Public\Desktop | File | 1300 | 1048705 | |
| 1460 | Event | 1304 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Public\Desktop | File | 1308 | 1048705 | |
| 1460 | Event | 1312 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Burn | File | 1316 | 1048705 | |
| 1460 | Event | 1320 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Burn | File | 1324 | 1048705 | |
| 1460 | Event | 1328 | 2031619 | ||
| 1460 | EtwRegistration | 1332 | 2052 | ||
| 1460 | Event | 1336 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Libraries | File | 1340 | 1048705 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\AltTab.dll.mui | File | 1344 | 1179785 | |
| 1460 | Event | 1348 | 2031619 | ||
| 1460 | TID 1644 PID 1640 | Thread | 1352 | 1048576 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{B6EBFB86-6907-413C-9AF7-4FC2ABF07CC5}\PROPERTYBAG | Key | 1356 | 131097 | |
| 1460 | Event | 1360 | 1048579 | ||
| 1460 | Event | 1364 | 2031619 | ||
| 1460 | TID 1764 PID 1460 | Thread | 1376 | 2097151 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{A302545D-DEFF-464B-ABE8-61C8648D939B}\PROPERTYBAG | Key | 1380 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{56784854-C6CB-462B-8169-88E350ACB882}\PROPERTYBAG | Key | 1384 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{18989B1D-99B5-455B-841C-AB7C74E4DDFC}\PROPERTYBAG | Key | 1388 | 131097 | |
| 1460 | TID 1652 PID 1648 | Thread | 1392 | 1048576 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{2112AB0A-C86A-4FFE-A368-0DE96E47012E}\PROPERTYBAG | Key | 1396 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{491E922F-5643-4AF4-A7EB-4E7A138D8174}\PROPERTYBAG | Key | 1400 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{3214FAB5-9757-4298-BB61-92A9DEAA44FF}\PROPERTYBAG | Key | 1404 | 131097 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{4BD8D571-6D19-48D3-BE97-422220080E43}\PROPERTYBAG | Key | 1408 | 131097 | |
| 1460 | Event | 1416 | 2031619 | ||
| 1460 | Event | 1420 | 35586051 | ||
| 1460 | ShellDesktopSwitchEvent | Event | 1424 | 2031619 | |
| 1460 | TID 1776 PID 1460 | Thread | 1428 | 2097151 | |
| 1460 | Event | 1432 | 35586051 | ||
| 1460 | Event | 1436 | 2031619 | ||
| 1460 | Event | 1440 | 2031619 | ||
| 1460 | EtwRegistration | 1444 | 2052 | ||
| 1460 | {43a2b8d7-6fed-4c18-bd36-b4630d61afb5} | Event | 1448 | 2031619 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM | Key | 1452 | 16 | |
| 1460 | mmGlobalPnpInfo | Section | 1456 | 4 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\DRIVERS32 | Key | 1460 | 1 | |
| 1460 | EtwRegistration | 1464 | 2052 | ||
| 1460 | {43a2b8d7-6fed-4c18-bd36-b4630d61afb5} | Event | 1468 | 2031619 | |
| 1460 | DINPUTWINMM | Event | 1472 | 2031619 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL\BAGS\101\SHELL | Key | 1476 | 131097 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL\BAGS\ALLFOLDERS\SHELL | Key | 1480 | 131097 | |
| 1460 | Event | 1484 | 2031619 | ||
| 1460 | Event | 1488 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\mpr.dll.mui | File | 1492 | 1179785 | |
| 1460 | Semaphore | 1496 | 1048579 | ||
| 1460 | Semaphore | 1500 | 1048579 | ||
| 1460 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NETWORKPROVIDER\HWORDER | Key | 1504 | 131097 | |
| 1460 | Event | 1508 | 2031619 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL\BAGS\101\SHELL\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7} | Key | 1512 | 131097 | |
| 1460 | Event | 1516 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\user32.dll.mui | File | 1520 | 1179785 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL\BAGS\ALLFOLDERS\SHELL | Key | 1524 | 131097 | |
| 1460 | Event | 1528 | 2031619 | ||
| 1460 | Event | 1532 | 2031619 | ||
| 1460 | Event | 1536 | 2031619 | ||
| 1460 | Event | 1540 | 2031619 | ||
| 1460 | \Device\VBoxGuest | File | 1544 | 1180063 | |
| 1460 | Event | 1548 | 2031619 | ||
| 1460 | Semaphore | 1552 | 1048579 | ||
| 1460 | Semaphore | 1556 | 1048579 | ||
| 1460 | EtwRegistration | 1560 | 2052 | ||
| 1460 | Semaphore | 1564 | 1048579 | ||
| 1460 | Semaphore | 1568 | 1048579 | ||
| 1460 | Event | 1572 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\wdmaud.drv.mui | File | 1576 | 1179785 | |
| 1460 | Mutant | 1580 | 2031617 | ||
| 1460 | ALPC Port | 1584 | 2031617 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\MMDevAPI.dll.mui | File | 1588 | 1179785 | |
| 1460 | EtwRegistration | 1592 | 2052 | ||
| 1460 | EtwRegistration | 1596 | 2052 | ||
| 1460 | EtwRegistration | 1600 | 2052 | ||
| 1460 | ALPC Port | 1604 | 2031617 | ||
| 1460 | EtwRegistration | 1608 | 2052 | ||
| 1460 | Event | 1612 | 2031619 | ||
| 1460 | Event | 1616 | 35586051 | ||
| 1460 | TID 1764 PID 1460 | Thread | 1620 | 2097151 | |
| 1460 | EtwRegistration | 1624 | 2052 | ||
| 1460 | Event | 1628 | 2031619 | ||
| 1460 | Event | 1632 | 2031619 | ||
| 1460 | TID 1764 PID 1460 | Thread | 1636 | 16 | |
| 1460 | Semaphore | 1640 | 2031619 | ||
| 1460 | Event | 1652 | 2031619 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES\LOCAL SETTINGS\SOFTWARE\MICROSOFT\WINDOWS\SHELL\BAGS\101\SHELL | Key | 1668 | 131078 | |
| 1460 | Event | 1672 | 1048579 | ||
| 1460 | Event | 1720 | 2031619 | ||
| 1460 | Event | 1724 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup | File | 1728 | 1048705 | |
| 1460 | Event | 1732 | 2031619 | ||
| 1460 | TID 1880 PID 1460 | Thread | 1744 | 1048576 | |
| 1460 | Event | 1748 | 2031619 | ||
| 1460 | Event | 1756 | 1048579 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup | File | 1768 | 1048705 | |
| 1460 | TID 1812 PID 1460 | Thread | 1776 | 2097151 | |
| 1460 | Event | 1780 | 2031619 | ||
| 1460 | EtwRegistration | 1784 | 2052 | ||
| 1460 | Event | 1788 | 2031619 | ||
| 1460 | Event | 1796 | 1048579 | ||
| 1460 | EtwRegistration | 1800 | 2052 | ||
| 1460 | Semaphore | 1804 | 2031619 | ||
| 1460 | EtwRegistration | 1808 | 2052 | ||
| 1460 | Event | 1812 | 2031619 | ||
| 1460 | EtwRegistration | 1816 | 2052 | ||
| 1460 | Event | 1820 | 2031619 | ||
| 1460 | Event | 1824 | 2031619 | ||
| 1460 | Event | 1828 | 2031619 | ||
| 1460 | Event | 1832 | 2031619 | ||
| 1460 | EtwRegistration | 1836 | 2052 | ||
| 1460 | EtwRegistration | 1840 | 2052 | ||
| 1460 | EtwRegistration | 1844 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 1848 | 1048608 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP | Key | 1852 | 131097 | |
| 1460 | windows_ie_global_counters | Section | 1856 | 6 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP | Key | 1860 | 131097 | |
| 1460 | ShellReadyEvent | Event | 1868 | 2031619 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\urlmon.dll.mui | File | 1872 | 1179785 | |
| 1460 | EtwRegistration | 1876 | 2052 | ||
| 1460 | Event | 1880 | 1048579 | ||
| 1460 | Event | 1884 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs | File | 1888 | 1048705 | |
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs | File | 1892 | 1048705 | |
| 1460 | Event | 1896 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 1900 | 1048608 | |
| 1460 | EtwRegistration | 1904 | 2052 | ||
| 1460 | EtwRegistration | 1908 | 2052 | ||
| 1460 | EtwRegistration | 1912 | 2052 | ||
| 1460 | EtwRegistration | 1916 | 2052 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\USERASSIST\{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\COUNT | Key | 1920 | 196639 | |
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db | File | 1924 | 1180063 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 1928 | 1048608 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE | Key | 1932 | 9 | |
| 1460 | Section | 1936 | 6 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE\SHELL\WINDOWS.ORGANIZE | Key | 1940 | 9 | |
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\USERASSIST\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\COUNT | Key | 1944 | 196639 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE | Key | 1948 | 9 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE\SHELL\WINDOWS.INCLUDEINLIBRARY | Key | 1952 | 9 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE | Key | 1956 | 9 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE\SHELL\WINDOWS.SHARE | Key | 1960 | 9 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE | Key | 1964 | 9 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE\SHELL\WINDOWS.SYNC | Key | 1968 | 9 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE | Key | 1972 | 9 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\COMMANDSTORE\SHELL\WINDOWS.NEWFOLDER | Key | 1976 | 9 | |
| 1460 | RestartMSIDLLv327680.498089985 | Event | 1980 | 2031619 | |
| 1460 | _SHuassist.mtx | Mutant | 1984 | 2031617 | |
| 1460 | ShutdownMSIDLLv327680.498089985 | Event | 1992 | 2031619 | |
| 1460 | EtwRegistration | 1996 | 2052 | ||
| 1460 | EtwRegistration | 2000 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\ProgramData\Microsoft\Windows\Start Menu | File | 2004 | 1048705 | |
| 1460 | Event | 2008 | 2031619 | ||
| 1460 | TID 3068 PID 3064 | Thread | 2016 | 1048576 | |
| 1460 | Event | 2024 | 2031619 | ||
| 1460 | Event | 2028 | 1048579 | ||
| 1460 | Event | 2032 | 2031619 | ||
| 1460 | Event | 2036 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db | File | 2040 | 1180063 | |
| 1460 | ALPC Port | 2052 | 2031617 | ||
| 1460 | TID 1824 PID 1460 | Thread | 2056 | 2097151 | |
| 1460 | EtwRegistration | 2060 | 2052 | ||
| 1460 | TermSrvReadyEvent | Event | 2064 | 1048576 | |
| 1460 | ALPC Port | 2068 | 2031617 | ||
| 1460 | Event | 2072 | 35586051 | ||
| 1460 | Event | 2076 | 2031619 | ||
| 1460 | EtwRegistration | 2080 | 2052 | ||
| 1460 | EtwRegistration | 2084 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\stobject.dll.mui | File | 2088 | 1179785 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2092 | 1048608 | |
| 1460 | Event | 2096 | 2031619 | ||
| 1460 | Event | 2100 | 1048579 | ||
| 1460 | Event | 2104 | 2031619 | ||
| 1460 | TID 1824 PID 1460 | Thread | 2108 | 2097151 | |
| 1460 | Event | 2112 | 2031619 | ||
| 1460 | Event | 2116 | 2031619 | ||
| 1460 | Event | 2120 | 2031619 | ||
| 1460 | Event | 2124 | 2031619 | ||
| 1460 | \Device\0000003b | File | 2128 | 1180063 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\batmeter.dll.mui | File | 2132 | 1179785 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2136 | 1048608 | |
| 1460 | TID 1824 PID 1460 | Thread | 2140 | 1048576 | |
| 1460 | Mutant | 2144 | 2031617 | ||
| 1460 | Event | 2148 | 2031619 | ||
| 1460 | Mutant | 2152 | 2031617 | ||
| 1460 | Event | 2156 | 2031619 | ||
| 1460 | Event | 2160 | 2031619 | ||
| 1460 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 2164 | 4 | |
| 1460 | Event | 2172 | 2031619 | ||
| 1460 | Event | 2176 | 2031619 | ||
| 1460 | \Device\WMIDataDevice | File | 2180 | 1180063 | |
| 1460 | Event | 2184 | 2031619 | ||
| 1460 | WmiGuid | 2188 | 1048580 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Printer Shortcuts | File | 2192 | 1048705 | |
| 1460 | Event | 2196 | 2031619 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Printer Shortcuts | File | 2200 | 1048705 | |
| 1460 | Event | 2204 | 2031619 | ||
| 1460 | Event | 2208 | 2031619 | ||
| 1460 | ALPC Port | 2220 | 2031617 | ||
| 1460 | TID 1836 PID 1460 | Thread | 2224 | 1048576 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2228 | 1048608 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\sndvolsso.dll.mui | File | 2232 | 1179785 | |
| 1460 | Event | 2236 | 35586051 | ||
| 1460 | Event | 2240 | 35586051 | ||
| 1460 | EtwRegistration | 2244 | 2052 | ||
| 1460 | Event | 2248 | 2031619 | ||
| 1460 | TID 1836 PID 1460 | Thread | 2252 | 2097151 | |
| 1460 | EtwRegistration | 2256 | 2052 | ||
| 1460 | EtwRegistration | 2260 | 2052 | ||
| 1460 | TID 1836 PID 1460 | Thread | 2264 | 16 | |
| 1460 | Event | 2268 | 2031619 | ||
| 1460 | TID 1832 PID 1460 | Thread | 2272 | 2097151 | |
| 1460 | EtwRegistration | 2276 | 2052 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\MSF\REGISTRATION\LISTEN | Key | 2280 | 131097 | |
| 1460 | Event | 2284 | 2031619 | ||
| 1460 | MACHINE | Key | 2288 | 983103 | |
| 1460 | Event | 2292 | 2031619 | ||
| 1460 | EtwRegistration | 2296 | 2052 | ||
| 1460 | Mutant | 2300 | 2031617 | ||
| 1460 | Event | 2304 | 2031619 | ||
| 1460 | Mutant | 2308 | 2031617 | ||
| 1460 | Event | 2312 | 2031619 | ||
| 1460 | Mutant | 2316 | 2031617 | ||
| 1460 | Event | 2320 | 2031619 | ||
| 1460 | Mutant | 2324 | 2031617 | ||
| 1460 | Event | 2328 | 2031619 | ||
| 1460 | EtwRegistration | 2332 | 2052 | ||
| 1460 | EtwRegistration | 2340 | 2052 | ||
| 1460 | EtwRegistration | 2344 | 2052 | ||
| 1460 | EtwRegistration | 2348 | 2052 | ||
| 1460 | EtwRegistration | 2352 | 2052 | ||
| 1460 | ALPC Port | 2356 | 2031617 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\pnidui.dll.mui | File | 2360 | 1179785 | |
| 1460 | ALPC Port | 2364 | 2031617 | ||
| 1460 | ALPC Port | 2368 | 2031617 | ||
| 1460 | Event | 2372 | 2031619 | ||
| 1460 | Event | 2376 | 2031619 | ||
| 1460 | EtwRegistration | 2380 | 2052 | ||
| 1460 | EtwRegistration | 2384 | 2052 | ||
| 1460 | EtwRegistration | 2388 | 2052 | ||
| 1460 | EtwRegistration | 2392 | 2052 | ||
| 1460 | EtwRegistration | 2396 | 2052 | ||
| 1460 | EtwRegistration | 2400 | 2052 | ||
| 1460 | EtwRegistration | 2404 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db | File | 2412 | 1180063 | |
| 1460 | \Device\Nsi | File | 2416 | 1048704 | |
| 1460 | EtwRegistration | 2420 | 2052 | ||
| 1460 | EtwRegistration | 2428 | 2052 | ||
| 1460 | Event | 2432 | 2031619 | ||
| 1460 | EtwRegistration | 2436 | 2052 | ||
| 1460 | TID 1836 PID 1460 | Thread | 2440 | 2097151 | |
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db | File | 2448 | 1180063 | |
| 1460 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db | File | 2456 | 1180063 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\hcproviders.dll.mui | File | 2460 | 1179785 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2464 | 1048608 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 2468 | 1179785 | |
| 1460 | Event | 2512 | 2031619 | ||
| 1460 | Event | 2520 | 2031619 | ||
| 1460 | Event | 2524 | 2031619 | ||
| 1460 | Event | 2528 | 2031619 | ||
| 1460 | Event | 2532 | 2031619 | ||
| 1460 | Event | 2536 | 2031619 | ||
| 1460 | IoCompletion | 2540 | 2031619 | ||
| 1460 | TpWorkerFactory | 2544 | 983295 | ||
| 1460 | EtwRegistration | 2548 | 2052 | ||
| 1460 | Event | 2552 | 2031619 | ||
| 1460 | TID 1872 PID 1460 | Thread | 2556 | 2097151 | |
| 1460 | TID 1872 PID 1460 | Thread | 2560 | 16 | |
| 1460 | Event | 2564 | 2031619 | ||
| 1460 | Event | 2568 | 2031619 | ||
| 1460 | ALPC Port | 2572 | 2031617 | ||
| 1460 | Event | 2576 | 2031619 | ||
| 1460 | Event | 2580 | 2031619 | ||
| 1460 | Event | 2584 | 1048579 | ||
| 1460 | TID 1872 PID 1460 | Thread | 2588 | 16 | |
| 1460 | Event | 2592 | 2031619 | ||
| 1460 | TID 1872 PID 1460 | Thread | 2596 | 16 | |
| 1460 | Event | 2600 | 2031619 | ||
| 1460 | TID 1872 PID 1460 | Thread | 2604 | 16 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2608 | 1048608 | |
| 1460 | TID 1872 PID 1460 | Thread | 2612 | 16 | |
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2616 | 1048608 | |
| 1460 | EtwRegistration | 2620 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\bthprops.cpl.mui | File | 2624 | 1179785 | |
| 1460 | EtwRegistration | 2628 | 2052 | ||
| 1460 | EtwRegistration | 2632 | 2052 | ||
| 1460 | Event | 2636 | 35586051 | ||
| 1460 | EtwRegistration | 2640 | 2052 | ||
| 1460 | EtwRegistration | 2644 | 2052 | ||
| 1460 | EtwRegistration | 2648 | 2052 | ||
| 1460 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\HOMEGROUP\SHARINGINPROGRESS | Key | 2652 | 16 | |
| 1460 | Event | 2656 | 2031619 | ||
| 1460 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\HOMEGROUP\PRINTERS | Key | 2660 | 16 | |
| 1460 | Event | 2664 | 2031619 | ||
| 1460 | ResetHomeGroupPrintersEvent_{71BEC3B4-E73F-4320-9138-6306F7C61C1F} | Event | 2668 | 2031619 | |
| 1460 | EtwRegistration | 2684 | 2052 | ||
| 1460 | EtwRegistration | 2688 | 2052 | ||
| 1460 | ALPC Port | 2692 | 2031617 | ||
| 1460 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2696 | 1048608 | |
| 1460 | EtwRegistration | 2700 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Users\ADMINI~1\AppData\Local\Temp\FXSAPIDebugLogFile.txt | File | 2704 | 1180054 | |
| 1460 | EtwRegistration | 2708 | 2052 | ||
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\FXSRESM.dll.mui | File | 2712 | 1179785 | |
| 1460 | Event | 2716 | 2031619 | ||
| 1460 | TID 264 PID 1460 | Thread | 2720 | 2097151 | |
| 1460 | MACHINE\SOFTWARE\MICROSOFT\FAX\CLIENT\SERVICESTARTUP | Key | 2724 | 17 | |
| 1460 | Event | 2728 | 2031619 | ||
| 1460 | Event | 2732 | 2031619 | ||
| 1460 | TID 264 PID 1460 | Thread | 2736 | 2097151 | |
| 1460 | Event | 2744 | 2031619 | ||
| 1460 | EtwRegistration | 2748 | 2052 | ||
| 1460 | Event | 2752 | 2031619 | ||
| 1460 | Event | 2756 | 1048579 | ||
| 1460 | Event | 2760 | 1048579 | ||
| 1460 | Event | 2776 | 2031619 | ||
| 1460 | Event | 2780 | 2031619 | ||
| 1460 | TID 1832 PID 1460 | Thread | 2788 | 16 | |
| 1460 | \Device\HarddiskVolume2\Windows\System32\en-US\netshell.dll.mui | File | 2808 | 1179785 | |
| 1460 | BaseNamedObjects | Directory | 2900 | 15 | |
| 1492 | KnownDlls | Directory | 4 | 3 | |
| 1492 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1492 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 1492 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 1492 | ALPC Port | 20 | 2031617 | ||
| 1492 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 1492 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 28 | 1 | |
| 1492 | EtwRegistration | 32 | 2052 | ||
| 1492 | Event | 36 | 35586051 | ||
| 1492 | WinSta0 | WindowStation | 40 | 983935 | |
| 1492 | Default | Desktop | 44 | 983551 | |
| 1492 | WinSta0 | WindowStation | 48 | 983935 | |
| 1492 | \Device\HarddiskVolume2\Windows\System32\en-US\taskhost.exe.mui | File | 52 | 1179785 | |
| 1492 | MACHINE | Key | 56 | 983103 | |
| 1492 | EtwRegistration | 60 | 2052 | ||
| 1492 | Event | 64 | 2031619 | ||
| 1492 | Event | 68 | 2031619 | ||
| 1492 | Event | 72 | 2031619 | ||
| 1492 | Event | 76 | 2031619 | ||
| 1492 | Event | 80 | 2031619 | ||
| 1492 | Event | 84 | 2031619 | ||
| 1492 | BaseNamedObjects | Directory | 88 | 15 | |
| 1492 | Event | 92 | 2031619 | ||
| 1492 | Event | 96 | 2031619 | ||
| 1492 | \Device\KsecDD | File | 100 | 1048577 | |
| 1492 | Event | 104 | 2031619 | ||
| 1492 | Event | 108 | 2031619 | ||
| 1492 | Event | 112 | 2031619 | ||
| 1492 | EtwRegistration | 116 | 2052 | ||
| 1492 | EtwRegistration | 120 | 2052 | ||
| 1492 | Event | 124 | 2031619 | ||
| 1492 | TID 1496 PID 1492 | Thread | 128 | 2097151 | |
| 1492 | KeyedEvent | 136 | 983043 | ||
| 1492 | IoCompletion | 140 | 2031619 | ||
| 1492 | TpWorkerFactory | 144 | 983295 | ||
| 1492 | Timer | 148 | 1048578 | ||
| 1492 | Timer | 152 | 2031619 | ||
| 1492 | TID 1500 PID 1492 | Thread | 156 | 2097151 | |
| 1492 | TID 1500 PID 1492 | Thread | 160 | 2097151 | |
| 1492 | Timer | 164 | 1048578 | ||
| 1492 | ALPC Port | 168 | 2031617 | ||
| 1492 | Event | 172 | 2031619 | ||
| 1492 | Mutant | 176 | 2031617 | ||
| 1492 | Event | 180 | 2031619 | ||
| 1492 | Event | 184 | 2031619 | ||
| 1492 | Event | 188 | 2031619 | ||
| 1492 | Event | 192 | 2031619 | ||
| 1492 | TID 1504 PID 1492 | Thread | 196 | 2097151 | |
| 1492 | Event | 200 | 35586051 | ||
| 1492 | EtwRegistration | 204 | 2052 | ||
| 1492 | EtwRegistration | 208 | 2052 | ||
| 1492 | ALPC Port | 212 | 2031617 | ||
| 1492 | Section | 216 | 4 | ||
| 1492 | EtwRegistration | 220 | 2052 | ||
| 1492 | EtwRegistration | 224 | 2052 | ||
| 1492 | ALPC Port | 228 | 2031617 | ||
| 1492 | TID 1516 PID 1492 | Thread | 240 | 2097151 | |
| 1492 | MSCTF.CtfDeactivated.Default1 | Event | 244 | 2031619 | |
| 1492 | MSCTF.CtfMonitorInitialized.Default1 | Event | 248 | 2031619 | |
| 1492 | __ComCatalogCache__ | Section | 252 | 4 | |
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 256 | 983103 | |
| 1492 | MaximumCommitCondition | Event | 260 | 1048577 | |
| 1492 | __ComCatalogCache__ | Section | 264 | 4 | |
| 1492 | EtwRegistration | 268 | 2052 | ||
| 1492 | MSCTF.CtfActivated.Default1 | Event | 272 | 2031619 | |
| 1492 | EtwRegistration | 276 | 2052 | ||
| 1492 | Event | 280 | 2031619 | ||
| 1492 | TID 1520 PID 1492 | Thread | 284 | 2097151 | |
| 1492 | \Device\HarddiskVolume2\Windows\System32\en-US\MsCtfMonitor.dll.mui | File | 288 | 1179785 | |
| 1492 | Event | 292 | 35586051 | ||
| 1492 | CicLoadWinStaWinSta0 | Mutant | 296 | 2031617 | |
| 1492 | Event | 300 | 2031619 | ||
| 1492 | TID 1520 PID 1492 | Thread | 304 | 2097151 | |
| 1492 | MSCTF.CtfMonitorInstMutexDefault1 | Mutant | 308 | 2031617 | |
| 1492 | TermSrvReadyEvent | Event | 312 | 1048576 | |
| 1492 | MSCTF.AsmCacheReady.Default1 | Event | 320 | 2031619 | |
| 1492 | MSCTF.Asm.MutexDefault1 | Mutant | 324 | 2031617 | |
| 1492 | CTF.AsmListCache.FMPDefault1 | Section | 328 | 983047 | |
| 1492 | Event | 332 | 2031619 | ||
| 1492 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 336 | 1179785 | |
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 340 | 983103 | |
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\KEYBOARD LAYOUT\TOGGLE | Key | 344 | 131097 | |
| 1492 | Event | 348 | 2031619 | ||
| 1492 | MACHINE\SOFTWARE\MICROSOFT\CTF\TIP | Key | 352 | 131097 | |
| 1492 | Event | 356 | 2031619 | ||
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\KEYBOARD LAYOUT\PRELOAD | Key | 360 | 131097 | |
| 1492 | Event | 364 | 2031619 | ||
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN | Key | 368 | 131097 | |
| 1492 | Event | 372 | 2031619 | ||
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\CTF\TIP | Key | 376 | 131097 | |
| 1492 | Event | 380 | 2031619 | ||
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\KEYBOARD LAYOUT | Key | 384 | 131097 | |
| 1492 | Event | 388 | 2031619 | ||
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\CTF\ASSEMBLIES | Key | 392 | 131097 | |
| 1492 | Event | 396 | 2031619 | ||
| 1492 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\KEYBOARD LAYOUTS | Key | 400 | 131097 | |
| 1492 | Event | 404 | 2031619 | ||
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\CTF\SORTORDER | Key | 408 | 131097 | |
| 1492 | Event | 412 | 2031619 | ||
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\CTF\DIRECTSWITCHHOTKEYS | Key | 416 | 131097 | |
| 1492 | Event | 420 | 2031619 | ||
| 1492 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\CONTROL PANEL\INPUT METHOD\HOT KEYS | Key | 424 | 131097 | |
| 1492 | TID 2220 PID 1492 | Thread | 428 | 2097151 | |
| 1492 | Event | 432 | 2031619 | ||
| 1492 | TID 1556 PID 1492 | Thread | 436 | 2097151 | |
| 1492 | Event | 444 | 2031619 | ||
| 1492 | Event | 448 | 2031619 | ||
| 1492 | EtwRegistration | 452 | 2052 | ||
| 1492 | EtwRegistration | 456 | 2052 | ||
| 1492 | EtwRegistration | 460 | 2052 | ||
| 1492 | EtwRegistration | 464 | 2052 | ||
| 1492 | EtwRegistration | 468 | 2052 | ||
| 1492 | Semaphore | 472 | 1048579 | ||
| 1492 | Semaphore | 476 | 1048579 | ||
| 1492 | ALPC Port | 488 | 2031617 | ||
| 1492 | EtwRegistration | 496 | 2052 | ||
| 1492 | EtwRegistration | 500 | 2052 | ||
| 1492 | EtwRegistration | 504 | 2052 | ||
| 1492 | OLE5FE9138B6A034001B31A0B3BF891 | ALPC Port | 508 | 2031617 | |
| 1492 | Event | 512 | 2031619 | ||
| 1492 | EtwRegistration | 516 | 2052 | ||
| 1492 | ALPC Port | 524 | 2031617 | ||
| 1492 | Event | 528 | 2031619 | ||
| 1492 | Event | 540 | 2031619 | ||
| 1492 | Event | 544 | 35586051 | ||
| 1492 | ALPC Port | 548 | 2031617 | ||
| 1492 | \Device\Beep | File | 552 | 3 | |
| 1492 | Event | 556 | 2031619 | ||
| 1492 | TID 1592 PID 1492 | Thread | 560 | 2097151 | |
| 1492 | PlaySoundKRpc1 | ALPC Port | 564 | 2031617 | |
| 1492 | Event | 568 | 2031619 | ||
| 1492 | Event | 572 | 2031619 | ||
| 1492 | Event | 576 | 2031619 | ||
| 1492 | Event | 580 | 2031619 | ||
| 1492 | Event | 584 | 2031619 | ||
| 1492 | Event | 588 | 2031619 | ||
| 1492 | Event | 592 | 2031619 | ||
| 1492 | Event | 596 | 2031619 | ||
| 1492 | Event | 600 | 2031619 | ||
| 1492 | Event | 604 | 2031619 | ||
| 1492 | EtwRegistration | 608 | 2052 | ||
| 1492 | ALPC Port | 612 | 2031617 | ||
| 1492 | AccessibilitySoundAgentRunning | Mutant | 616 | 2031617 | |
| 1492 | \Device\HarddiskVolume2\Windows\System32\en-US\winmm.dll.mui | File | 620 | 1179785 | |
| 1492 | Event | 628 | 35586051 | ||
| 1640 | KnownDlls | Directory | 4 | 3 | |
| 1640 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1640 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 12 | 1048608 | |
| 1640 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 16 | 9 | |
| 1640 | ALPC Port | 20 | 2031617 | ||
| 1640 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 24 | 9 | |
| 1640 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 28 | 131097 | |
| 1640 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 32 | 1 | |
| 1640 | EtwRegistration | 36 | 2052 | ||
| 1640 | Event | 40 | 35586051 | ||
| 1640 | WinSta0 | WindowStation | 44 | 983935 | |
| 1640 | Default | Desktop | 48 | 983551 | |
| 1640 | WinSta0 | WindowStation | 52 | 983935 | |
| 1640 | MACHINE | Key | 56 | 983103 | |
| 1640 | EtwRegistration | 60 | 2052 | ||
| 1640 | EtwRegistration | 64 | 2052 | ||
| 1640 | EtwRegistration | 68 | 2052 | ||
| 1640 | EtwRegistration | 72 | 2052 | ||
| 1640 | EtwRegistration | 76 | 2052 | ||
| 1640 | EtwRegistration | 80 | 2052 | ||
| 1640 | EtwRegistration | 84 | 2052 | ||
| 1640 | EtwRegistration | 88 | 2052 | ||
| 1640 | EtwRegistration | 92 | 2052 | ||
| 1640 | EtwRegistration | 96 | 2052 | ||
| 1640 | EtwRegistration | 100 | 2052 | ||
| 1640 | EtwRegistration | 104 | 2052 | ||
| 1640 | EtwRegistration | 108 | 2052 | ||
| 1640 | Mutant | 112 | 2031617 | ||
| 1640 | Event | 116 | 2031619 | ||
| 1640 | EtwRegistration | 120 | 2052 | ||
| 1640 | Event | 124 | 2031619 | ||
| 1640 | Event | 128 | 2031619 | ||
| 1640 | Event | 132 | 2031619 | ||
| 1640 | Event | 136 | 2031619 | ||
| 1640 | Event | 140 | 2031619 | ||
| 1640 | Event | 144 | 2031619 | ||
| 1640 | BaseNamedObjects | Directory | 148 | 15 | |
| 1640 | EVERYTHING_MUTEX | Mutant | 152 | 2031617 | |
| 1640 | Event | 156 | 2031619 | ||
| 1640 | Event | 160 | 2031619 | ||
| 1640 | \Device\KsecDD | File | 164 | 1048577 | |
| 1640 | EtwRegistration | 168 | 2052 | ||
| 1640 | EtwRegistration | 172 | 2052 | ||
| 1640 | ALPC Port | 176 | 2031617 | ||
| 1640 | Section | 180 | 4 | ||
| 1640 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\PROPERTYBAG | Key | 184 | 131097 | |
| 1640 | windows_shell_global_counters | Section | 188 | 6 | |
| 1640 | \Device\HarddiskVolume2 | File | 192 | 1179785 | |
| 1640 | Event | 196 | 2031619 | ||
| 1640 | Event | 200 | 2031619 | ||
| 1640 | \Device\HarddiskVolume2 | File | 204 | 1179785 | |
| 1640 | Event | 208 | 2031619 | ||
| 1640 | EtwRegistration | 212 | 2052 | ||
| 1640 | EtwRegistration | 216 | 2052 | ||
| 1640 | Event | 220 | 2031619 | ||
| 1640 | TID 1644 PID 1640 | Thread | 224 | 2097151 | |
| 1640 | ALPC Port | 228 | 2031617 | ||
| 1640 | Event | 232 | 2031619 | ||
| 1640 | TID 3244 PID 1640 | Thread | 236 | 2097151 | |
| 1648 | KnownDlls | Directory | 4 | 3 | |
| 1648 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1648 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 1648 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 1648 | ALPC Port | 20 | 2031617 | ||
| 1648 | Event | 24 | 2031619 | ||
| 1648 | MACHINE | Key | 28 | 983103 | |
| 1648 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NETWORKPROVIDER\HWORDER | Key | 32 | 131097 | |
| 1648 | Semaphore | 36 | 1048579 | ||
| 1648 | Semaphore | 40 | 1048579 | ||
| 1648 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 44 | 131097 | |
| 1648 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 48 | 1 | |
| 1648 | EtwRegistration | 52 | 2052 | ||
| 1648 | Event | 56 | 35586051 | ||
| 1648 | WinSta0 | WindowStation | 60 | 983935 | |
| 1648 | Default | Desktop | 64 | 983551 | |
| 1648 | WinSta0 | WindowStation | 68 | 983935 | |
| 1648 | Mutant | 72 | 2031617 | ||
| 1648 | Event | 76 | 2031619 | ||
| 1648 | EtwRegistration | 80 | 2052 | ||
| 1648 | EtwRegistration | 84 | 2052 | ||
| 1648 | EtwRegistration | 88 | 2052 | ||
| 1648 | EtwRegistration | 92 | 2052 | ||
| 1648 | EtwRegistration | 96 | 2052 | ||
| 1648 | EtwRegistration | 100 | 2052 | ||
| 1648 | EtwRegistration | 104 | 2052 | ||
| 1648 | BaseNamedObjects | Directory | 108 | 15 | |
| 1648 | VBoxTray | Mutant | 112 | 2031617 | |
| 1648 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 116 | 131097 | |
| 1648 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 120 | 131097 | |
| 1648 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 124 | 131097 | |
| 1648 | Event | 128 | 2031619 | ||
| 1648 | Event | 132 | 2031619 | ||
| 1648 | Event | 136 | 2031619 | ||
| 1648 | Event | 140 | 2031619 | ||
| 1648 | Event | 144 | 2031619 | ||
| 1648 | \Device\VBoxGuest | File | 148 | 1180063 | |
| 1648 | Event | 152 | 2031619 | ||
| 1648 | \Device\VBoxGuest | File | 156 | 1180063 | |
| 1648 | EtwRegistration | 160 | 2052 | ||
| 1648 | EtwRegistration | 164 | 2052 | ||
| 1648 | ALPC Port | 168 | 2031617 | ||
| 1648 | Section | 172 | 4 | ||
| 1648 | \Device\HarddiskVolume2\Windows\System32\en-US\user32.dll.mui | File | 176 | 1179785 | |
| 1648 | Event | 180 | 2031619 | ||
| 1648 | EtwRegistration | 184 | 2052 | ||
| 1648 | Event | 188 | 2031619 | ||
| 1648 | Event | 192 | 2031619 | ||
| 1648 | EtwRegistration | 196 | 2052 | ||
| 1648 | EtwRegistration | 200 | 2052 | ||
| 1648 | Event | 204 | 2031619 | ||
| 1648 | TID 1652 PID 1648 | Thread | 208 | 2097151 | |
| 1648 | IoCompletion | 216 | 2031619 | ||
| 1648 | TpWorkerFactory | 220 | 983295 | ||
| 1648 | KeyedEvent | 224 | 983043 | ||
| 1648 | Timer | 228 | 1048578 | ||
| 1648 | Timer | 232 | 2031619 | ||
| 1648 | TID 1668 PID 1648 | Thread | 236 | 2097151 | |
| 1648 | TID 1668 PID 1648 | Thread | 240 | 2097151 | |
| 1648 | IoCompletion | 244 | 2031619 | ||
| 1648 | TpWorkerFactory | 248 | 983295 | ||
| 1648 | Timer | 252 | 1048578 | ||
| 1648 | TermSrvReadyEvent | Event | 256 | 1048576 | |
| 1648 | ALPC Port | 260 | 2031617 | ||
| 1648 | Event | 264 | 2031619 | ||
| 1648 | VBoxHookDtNotifyEvent | Event | 268 | 2031619 | |
| 1648 | EtwRegistration | 272 | 2052 | ||
| 1648 | Event | 276 | 2031619 | ||
| 1648 | Event | 280 | 2031619 | ||
| 1648 | Event | 284 | 2031619 | ||
| 1648 | Event | 288 | 2031619 | ||
| 1648 | Event | 292 | 2031619 | ||
| 1648 | Event | 296 | 2031619 | ||
| 1648 | Event | 300 | 2031619 | ||
| 1648 | Event | 304 | 2031619 | ||
| 1648 | \Device\KsecDD | File | 308 | 1048577 | |
| 1648 | ALPC Port | 312 | 2031617 | ||
| 1648 | VBoxHookWtNotifyEvent | Event | 316 | 2031619 | |
| 1648 | Event | 320 | 2031619 | ||
| 1648 | Event | 324 | 2031619 | ||
| 1648 | Event | 328 | 2031619 | ||
| 1648 | TID 1676 PID 1648 | Thread | 332 | 2097151 | |
| 1648 | Event | 336 | 35586051 | ||
| 1648 | TID 1680 PID 1648 | Thread | 340 | 2097151 | |
| 1648 | TID 1684 PID 1648 | Thread | 344 | 2097151 | |
| 1648 | TID 1688 PID 1648 | Thread | 348 | 2097151 | |
| 1648 | Event | 352 | 2031619 | ||
| 1648 | Semaphore | 356 | 1048579 | ||
| 1648 | Semaphore | 360 | 1048579 | ||
| 1648 | ALPC Port | 364 | 2031617 | ||
| 1648 | Event | 368 | 2031619 | ||
| 1648 | Event | 372 | 2031619 | ||
| 1648 | Event | 376 | 2031619 | ||
| 1648 | TID 1692 PID 1648 | Thread | 380 | 2097151 | |
| 1648 | TID 1696 PID 1648 | Thread | 384 | 2097151 | |
| 1648 | windows_shell_global_counters | Section | 388 | 6 | |
| 1648 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\PROPERTYBAG | Key | 392 | 131097 | |
| 1648 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{D65231B0-B2F1-4857-A4CE-A8E7C6EA7D27}\PROPERTYBAG | Key | 396 | 131097 | |
| 1648 | Event | 400 | 35586051 | ||
| 1648 | Event | 404 | 2031619 | ||
| 1648 | \Device\HarddiskVolume2\Windows\System32\en-US\mpr.dll.mui | File | 408 | 1179785 | |
| 1648 | Event | 412 | 2031619 | ||
| 1648 | Event | 416 | 2031619 | ||
| 1648 | Event | 420 | 2031619 | ||
| 1648 | Event | 424 | 2031619 | ||
| 1648 | \Device\VBoxGuest | File | 428 | 1180063 | |
| 1648 | Event | 432 | 2031619 | ||
| 1648 | Semaphore | 436 | 1048579 | ||
| 1648 | Semaphore | 440 | 1048579 | ||
| 1648 | EtwRegistration | 444 | 2052 | ||
| 1648 | Event | 448 | 35586051 | ||
| 1648 | VBoxHookDtNotifyEvent | Event | 452 | 2 | |
| 1648 | Event | 456 | 2031619 | ||
| 1648 | TID 1692 PID 1648 | Thread | 460 | 2097151 | |
| 1648 | \Device\NamedPipe\IPRT-VBoxTrayIPC-Administrator | File | 484 | 1180063 | |
| 1648 | TID 3028 PID 1648 | Thread | 488 | 2097151 | |
| 1704 | KnownDlls | Directory | 4 | 3 | |
| 1704 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1704 | Event | 12 | 2031619 | ||
| 1704 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57 | File | 16 | 1048608 | |
| 1704 | ALPC Port | 20 | 2031617 | ||
| 1704 | ALPC Port | 24 | 2031617 | ||
| 1704 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57 | File | 28 | 1048608 | |
| 1704 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 32 | 9 | |
| 1704 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 36 | 9 | |
| 1704 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 40 | 131097 | |
| 1704 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 44 | 1 | |
| 1704 | EtwRegistration | 48 | 2052 | ||
| 1704 | Event | 52 | 35586051 | ||
| 1704 | WinSta0 | WindowStation | 56 | 983935 | |
| 1704 | Default | Desktop | 60 | 983551 | |
| 1704 | WinSta0 | WindowStation | 64 | 983935 | |
| 1704 | MACHINE | Key | 68 | 983103 | |
| 1704 | Mutant | 72 | 2031617 | ||
| 1704 | Event | 76 | 2031619 | ||
| 1704 | EtwRegistration | 80 | 2052 | ||
| 1704 | EtwRegistration | 84 | 2052 | ||
| 1704 | EtwRegistration | 88 | 2052 | ||
| 1704 | EtwRegistration | 92 | 2052 | ||
| 1704 | EtwRegistration | 96 | 2052 | ||
| 1704 | EtwRegistration | 100 | 2052 | ||
| 1704 | EtwRegistration | 104 | 2052 | ||
| 1704 | Event | 108 | 2031619 | ||
| 1704 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 112 | 983103 | |
| 1704 | Event | 116 | 2031619 | ||
| 1704 | Event | 120 | 2031619 | ||
| 1704 | Event | 124 | 2031619 | ||
| 1704 | Event | 128 | 2031619 | ||
| 1704 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 132 | 1179785 | |
| 1704 | Event | 136 | 2031619 | ||
| 1704 | TID 1708 PID 1704 | Thread | 140 | 2097151 | |
| 1704 | Event | 144 | 2031619 | ||
| 1704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 148 | 983103 | |
| 1704 | Event | 152 | 2031619 | ||
| 1704 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 156 | 983103 | |
| 1704 | Event | 160 | 2031619 | ||
| 1704 | Event | 164 | 2031619 | ||
| 1704 | Event | 168 | 2031619 | ||
| 1704 | Event | 172 | 2031619 | ||
| 1704 | Event | 176 | 2031619 | ||
| 1704 | Event | 180 | 2031619 | ||
| 1704 | Event | 184 | 2031619 | ||
| 1704 | Event | 188 | 2031619 | ||
| 1704 | Event | 192 | 2031619 | ||
| 1704 | Event | 196 | 2031619 | ||
| 1704 | Event | 200 | 2031619 | ||
| 1704 | Event | 204 | 2031619 | ||
| 1704 | Event | 208 | 2031619 | ||
| 1704 | Event | 212 | 2031619 | ||
| 1704 | Event | 216 | 2031619 | ||
| 1704 | Event | 220 | 2031619 | ||
| 1704 | Event | 224 | 2031619 | ||
| 1704 | Event | 228 | 2031619 | ||
| 1704 | Event | 232 | 2031619 | ||
| 1704 | Event | 236 | 2031619 | ||
| 1704 | Event | 240 | 2031619 | ||
| 1704 | Event | 244 | 2031619 | ||
| 1704 | Event | 248 | 2031619 | ||
| 1704 | Event | 252 | 2031619 | ||
| 1704 | Event | 256 | 2031619 | ||
| 1704 | Event | 260 | 2031619 | ||
| 1704 | Event | 264 | 2031619 | ||
| 1704 | Event | 268 | 2031619 | ||
| 1704 | Event | 272 | 2031619 | ||
| 1704 | Event | 276 | 2031619 | ||
| 1704 | Event | 280 | 2031619 | ||
| 1704 | Event | 284 | 2031619 | ||
| 1704 | Event | 288 | 2031619 | ||
| 1704 | Event | 292 | 2031619 | ||
| 1704 | Event | 296 | 2031619 | ||
| 1704 | Event | 300 | 2031619 | ||
| 1704 | Event | 304 | 2031619 | ||
| 1704 | Event | 308 | 2031619 | ||
| 1704 | Event | 312 | 2031619 | ||
| 1704 | Event | 316 | 2031619 | ||
| 1704 | Event | 320 | 2031619 | ||
| 1704 | Event | 324 | 2031619 | ||
| 1704 | Event | 328 | 2031619 | ||
| 1704 | \Device\KsecDD | File | 332 | 1048577 | |
| 1704 | Event | 336 | 2031619 | ||
| 1704 | Event | 340 | 2031619 | ||
| 1704 | Event | 344 | 2031619 | ||
| 1704 | \Device\Afd\Endpoint | File | 348 | 1442207 | |
| 1704 | EtwRegistration | 352 | 2052 | ||
| 1704 | Event | 356 | 2031619 | ||
| 1704 | Event | 360 | 2031619 | ||
| 1704 | EtwRegistration | 364 | 2052 | ||
| 1704 | EtwRegistration | 368 | 2052 | ||
| 1704 | Event | 372 | 2031619 | ||
| 1704 | EtwRegistration | 376 | 2052 | ||
| 1704 | EtwRegistration | 380 | 2052 | ||
| 1704 | EtwRegistration | 384 | 2052 | ||
| 1704 | Event | 388 | 2031619 | ||
| 1704 | Event | 392 | 2031619 | ||
| 1704 | Event | 396 | 2031619 | ||
| 1704 | EtwRegistration | 400 | 2052 | ||
| 1704 | EtwRegistration | 404 | 2052 | ||
| 1704 | Event | 408 | 2031619 | ||
| 1704 | TID 1708 PID 1704 | Thread | 412 | 2097151 | |
| 1704 | python.exe(2152) | Process | 416 | 2097151 | |
| 1704 | IoCompletion | 420 | 2031619 | ||
| 1704 | TpWorkerFactory | 424 | 983295 | ||
| 1704 | KeyedEvent | 428 | 983043 | ||
| 1704 | Timer | 432 | 1048578 | ||
| 1704 | Timer | 436 | 2031619 | ||
| 1704 | TID 1808 PID 1704 | Thread | 440 | 2097151 | |
| 1704 | TID 1808 PID 1704 | Thread | 444 | 2097151 | |
| 1704 | IoCompletion | 448 | 2031619 | ||
| 1704 | TpWorkerFactory | 452 | 983295 | ||
| 1704 | Timer | 456 | 1048578 | ||
| 1704 | Event | 460 | 2031619 | ||
| 1704 | Event | 464 | 2031619 | ||
| 1704 | Event | 468 | 2031619 | ||
| 1704 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 488 | 8 | |
| 1704 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 492 | 8 | |
| 1768 | KnownDlls | Directory | 4 | 3 | |
| 1768 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1768 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 1768 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 1768 | ALPC Port | 20 | 2031617 | ||
| 1768 | console-0x000006E8-lpc-handle | ALPC Port | 24 | 2031617 | |
| 1768 | WinSta0 | WindowStation | 28 | 983935 | |
| 1768 | Default | Desktop | 32 | 983551 | |
| 1768 | WinSta0 | WindowStation | 36 | 983935 | |
| 1768 | \Device\HarddiskVolume2\Windows\System32\en-US\conhost.exe.mui | File | 40 | 1179785 | |
| 1768 | MACHINE | Key | 44 | 983103 | |
| 1768 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 48 | 131097 | |
| 1768 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 52 | 1 | |
| 1768 | EtwRegistration | 56 | 2052 | ||
| 1768 | EtwRegistration | 60 | 2052 | ||
| 1768 | Event | 64 | 2031619 | ||
| 1768 | Event | 68 | 2031619 | ||
| 1768 | Event | 72 | 2031619 | ||
| 1768 | Event | 76 | 2031619 | ||
| 1768 | Event | 80 | 2031619 | ||
| 1768 | Event | 84 | 2031619 | ||
| 1768 | BaseNamedObjects | Directory | 88 | 15 | |
| 1768 | Event | 92 | 1048579 | ||
| 1768 | ConsoleEvent-0x000006E8 | Event | 96 | 2 | |
| 1768 | python.exe(1704) | Process | 100 | 2097151 | |
| 1768 | ALPC Port | 104 | 2031617 | ||
| 1768 | Event | 108 | 35586051 | ||
| 1768 | EtwRegistration | 112 | 2052 | ||
| 1768 | EtwRegistration | 116 | 2052 | ||
| 1768 | ALPC Port | 120 | 2031617 | ||
| 1768 | Section | 124 | 4 | ||
| 1768 | Event | 128 | 2031619 | ||
| 1768 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 132 | 131097 | |
| 1768 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 136 | 131097 | |
| 1768 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 140 | 131097 | |
| 1768 | python.exe(2152) | Process | 144 | 2097151 | |
| 1768 | \Device\HarddiskVolume2\Windows\System32\ega.cpi | File | 148 | 1179785 | |
| 1768 | Event | 152 | 35586051 | ||
| 1768 | EtwRegistration | 156 | 2052 | ||
| 1768 | EtwRegistration | 160 | 2052 | ||
| 1768 | \Device\HarddiskVolume2\Windows\System32\en-US\user32.dll.mui | File | 164 | 1179785 | |
| 1768 | Mutant | 168 | 2031617 | ||
| 1768 | Event | 172 | 2031619 | ||
| 1768 | \Device\HarddiskVolume2\Windows\Fonts\StaticCache.dat | File | 176 | 1179785 | |
| 1768 | Section | 180 | 983045 | ||
| 1768 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 184 | 1048608 | |
| 1768 | EtwRegistration | 188 | 2052 | ||
| 1768 | EtwRegistration | 192 | 2052 | ||
| 1768 | EtwRegistration | 196 | 2052 | ||
| 1768 | EtwRegistration | 200 | 2052 | ||
| 1768 | Event | 204 | 2031619 | ||
| 1768 | Event | 208 | 2031619 | ||
| 1768 | \Device\KsecDD | File | 212 | 1048577 | |
| 1768 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 216 | 983103 | |
| 1768 | windows_shell_global_counters | Section | 220 | 6 | |
| 1768 | ALPC Port | 224 | 2031617 | ||
| 1900 | KnownDlls | Directory | 4 | 3 | |
| 1900 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1900 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 1900 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 1900 | ALPC Port | 20 | 2031617 | ||
| 1900 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 1900 | EtwRegistration | 28 | 2052 | ||
| 1900 | EtwRegistration | 32 | 2052 | ||
| 1900 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 36 | 1 | |
| 1900 | Event | 40 | 35586051 | ||
| 1900 | Service-0x0-3e5$ | WindowStation | 44 | 983150 | |
| 1900 | Default | Desktop | 48 | 983247 | |
| 1900 | Service-0x0-3e5$ | WindowStation | 52 | 983150 | |
| 1900 | \Device\HarddiskVolume2\Windows\System32\en-US\svchost.exe.mui | File | 56 | 1179785 | |
| 1900 | Event | 60 | 2031619 | ||
| 1900 | EtwRegistration | 64 | 2052 | ||
| 1900 | Event | 68 | 2031619 | ||
| 1900 | Event | 72 | 2031619 | ||
| 1900 | Event | 76 | 2031619 | ||
| 1900 | Event | 80 | 2031619 | ||
| 1900 | Event | 84 | 2031619 | ||
| 1900 | BaseNamedObjects | Directory | 88 | 15 | |
| 1900 | Event | 92 | 2031619 | ||
| 1900 | Event | 96 | 2031619 | ||
| 1900 | \Device\KsecDD | File | 100 | 1048577 | |
| 1900 | Event | 104 | 2031619 | ||
| 1900 | Event | 108 | 2031619 | ||
| 1900 | Event | 112 | 2031619 | ||
| 1900 | EtwRegistration | 116 | 2052 | ||
| 1900 | EtwRegistration | 120 | 2052 | ||
| 1900 | Event | 124 | 2031619 | ||
| 1900 | TID 1904 PID 1900 | Thread | 128 | 2097151 | |
| 1900 | KeyedEvent | 136 | 983043 | ||
| 1900 | IoCompletion | 140 | 2031619 | ||
| 1900 | TpWorkerFactory | 144 | 983295 | ||
| 1900 | Timer | 148 | 1048578 | ||
| 1900 | Timer | 152 | 2031619 | ||
| 1900 | TID 1908 PID 1900 | Thread | 156 | 2097151 | |
| 1900 | TID 1908 PID 1900 | Thread | 160 | 2097151 | |
| 1900 | Timer | 164 | 1048578 | ||
| 1900 | ALPC Port | 168 | 2031617 | ||
| 1900 | Event | 172 | 2031619 | ||
| 1900 | Mutant | 176 | 2031617 | ||
| 1900 | Event | 180 | 2031619 | ||
| 1900 | Token | 184 | 72 | ||
| 1900 | ALPC Port | 188 | 2031617 | ||
| 1900 | Event | 192 | 2031619 | ||
| 1900 | Event | 204 | 2031619 | ||
| 1900 | USER\S-1-5-19\CONTROL PANEL\INTERNATIONAL | Key | 208 | 131097 | |
| 1900 | EtwRegistration | 212 | 2052 | ||
| 1900 | EtwRegistration | 216 | 2052 | ||
| 1900 | EtwRegistration | 220 | 2052 | ||
| 1900 | EtwRegistration | 224 | 2052 | ||
| 1900 | Event | 228 | 2031619 | ||
| 1900 | TID 1916 PID 1900 | Thread | 232 | 2097151 | |
| 1900 | Event | 236 | 2031619 | ||
| 1900 | Event | 240 | 2031619 | ||
| 1900 | Event | 244 | 2031619 | ||
| 1900 | __ComCatalogCache__ | Section | 248 | 4 | |
| 1900 | MaximumCommitCondition | Event | 252 | 1048577 | |
| 1900 | MACHINE\SOFTWARE\CLASSES | Key | 256 | 131097 | |
| 1900 | TID 1944 PID 1900 | Thread | 260 | 2097151 | |
| 1900 | __ComCatalogCache__ | Section | 264 | 4 | |
| 1900 | IoCompletion | 268 | 2031619 | ||
| 1900 | EtwRegistration | 272 | 2052 | ||
| 1900 | EtwRegistration | 276 | 2052 | ||
| 1900 | TpWorkerFactory | 280 | 983295 | ||
| 1900 | Timer | 284 | 1048578 | ||
| 1900 | Timer | 288 | 1048578 | ||
| 1900 | EtwRegistration | 292 | 2052 | ||
| 1900 | EtwRegistration | 296 | 2052 | ||
| 1900 | \Device\Nsi | File | 300 | 1048704 | |
| 1900 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 304 | 131097 | |
| 1900 | Event | 308 | 2031619 | ||
| 1900 | Event | 312 | 2031619 | ||
| 1900 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 316 | 131097 | |
| 1900 | EtwRegistration | 324 | 2052 | ||
| 1900 | EtwRegistration | 332 | 2052 | ||
| 1900 | Event | 336 | 2031619 | ||
| 1900 | Event | 340 | 2031619 | ||
| 1900 | Event | 344 | 2031619 | ||
| 1900 | TID 1916 PID 1900 | Thread | 348 | 2097151 | |
| 1900 | ALPC Port | 352 | 2031617 | ||
| 1900 | Event | 356 | 2031619 | ||
| 1900 | Event | 360 | 2031619 | ||
| 1900 | Event | 364 | 2031619 | ||
| 1900 | Event | 368 | 2031619 | ||
| 1900 | Event | 372 | 2031619 | ||
| 1900 | IoCompletion | 376 | 2031619 | ||
| 1900 | TpWorkerFactory | 380 | 983295 | ||
| 1900 | Event | 384 | 2031619 | ||
| 1900 | Event | 388 | 2031619 | ||
| 1900 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\EPOCH | Key | 392 | 16 | |
| 1900 | IoCompletion | 396 | 2031619 | ||
| 1900 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SHAREDACCESS\EPOCH2 | Key | 400 | 16 | |
| 1900 | TpWorkerFactory | 404 | 983295 | ||
| 1900 | IoCompletion | 408 | 2031619 | ||
| 1900 | TpWorkerFactory | 412 | 983295 | ||
| 1900 | Semaphore | 416 | 2031619 | ||
| 1900 | IoCompletion | 420 | 2031619 | ||
| 1900 | TpWorkerFactory | 424 | 983295 | ||
| 1900 | \Device\Communication | File | 428 | 1180063 | |
| 1900 | \Device\Communication | File | 432 | 1180063 | |
| 1900 | EtwRegistration | 436 | 2052 | ||
| 1900 | \Device\ReqQueue | File | 440 | 1180063 | |
| 1900 | \Device\PcwDrv | File | 444 | 1 | |
| 1900 | PcwObject | 448 | 3 | ||
| 1900 | PcwObject | 452 | 3 | ||
| 1900 | PcwObject | 456 | 3 | ||
| 1900 | ALPC Port | 460 | 2031617 | ||
| 1900 | Event | 464 | 2031619 | ||
| 1900 | Event | 468 | 2031619 | ||
| 1900 | IoCompletion | 472 | 2031619 | ||
| 1900 | TpWorkerFactory | 476 | 983295 | ||
| 1900 | Semaphore | 480 | 2031619 | ||
| 1900 | IoCompletion | 484 | 2031619 | ||
| 1900 | TpWorkerFactory | 488 | 983295 | ||
| 1900 | Semaphore | 492 | 1048579 | ||
| 1900 | Semaphore | 496 | 1048579 | ||
| 1900 | EtwRegistration | 500 | 2052 | ||
| 1900 | Event | 504 | 2031619 | ||
| 1900 | Event | 508 | 2031619 | ||
| 1900 | TID 1932 PID 1900 | Thread | 512 | 2097151 | |
| 1900 | TID 1920 PID 1900 | Thread | 516 | 2122 | |
| 1900 | \Device\Afd\Endpoint | File | 520 | 1442207 | |
| 1900 | Event | 524 | 1048579 | ||
| 1900 | Semaphore | 528 | 2031619 | ||
| 1900 | Semaphore | 532 | 2031619 | ||
| 1900 | Event | 536 | 2031619 | ||
| 1900 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 540 | 1179785 | |
| 1900 | Semaphore | 544 | 2031619 | ||
| 1900 | IoCompletion | 548 | 2031619 | ||
| 1900 | Event | 552 | 2031619 | ||
| 1900 | Event | 556 | 2031619 | ||
| 1900 | TID 1936 PID 1900 | Thread | 560 | 2097151 | |
| 1900 | Event | 564 | 2031619 | ||
| 1900 | Event | 568 | 2031619 | ||
| 1900 | MACHINE\SOFTWARE\MICROSOFT\FUNCTION DISCOVERY\REGISTRYSTORE\PUBLICATION | Key | 572 | 131097 | |
| 1900 | TpWorkerFactory | 576 | 983295 | ||
| 1900 | Event | 580 | 1048579 | ||
| 1900 | Event | 584 | 1048579 | ||
| 1900 | IoCompletion | 588 | 2031619 | ||
| 1900 | Event | 592 | 2031619 | ||
| 1900 | TpWorkerFactory | 596 | 983295 | ||
| 1900 | Event | 600 | 1048579 | ||
| 1900 | Event | 604 | 1048579 | ||
| 1900 | IoCompletion | 608 | 2031619 | ||
| 1900 | Event | 612 | 2031619 | ||
| 1900 | TpWorkerFactory | 616 | 983295 | ||
| 1900 | \Device\Afd\Endpoint | File | 620 | 1442207 | |
| 1900 | \Device\Afd\Endpoint | File | 624 | 1442207 | |
| 1900 | ALPC Port | 628 | 2031617 | ||
| 1900 | ALPC Port | 632 | 2031617 | ||
| 1900 | IoCompletion | 636 | 2031619 | ||
| 1900 | TpWorkerFactory | 640 | 983295 | ||
| 1900 | TID 1928 PID 1900 | Thread | 648 | 2097151 | |
| 1900 | \Device\Afd\Endpoint | File | 652 | 1442207 | |
| 1900 | \Device\HarddiskVolume2\Windows\System32\en-US\wshtcpip.dll.mui | File | 660 | 1179785 | |
| 1900 | \Device\HarddiskVolume2\Windows\System32\en-US\wship6.dll.mui | File | 664 | 1179785 | |
| 1900 | Event | 668 | 2031619 | ||
| 1900 | \Device\Afd\Endpoint | File | 672 | 1442207 | |
| 1900 | \Device\Afd\Endpoint | File | 676 | 1442207 | |
| 1900 | Token | 680 | 8 | ||
| 1900 | Event | 688 | 1048579 | ||
| 1900 | Event | 700 | 2031619 | ||
| 1900 | Event | 704 | 2031619 | ||
| 1900 | ALPC Port | 708 | 2031617 | ||
| 1900 | EtwRegistration | 712 | 2052 | ||
| 1900 | Event | 716 | 2031619 | ||
| 1900 | Event | 720 | 2031619 | ||
| 1900 | Event | 724 | 2031619 | ||
| 1900 | TID 1840 PID 1900 | Thread | 728 | 2097151 | |
| 1900 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\FONTS | Key | 732 | 131097 | |
| 1900 | Event | 736 | 2031619 | ||
| 1900 | \Device\HarddiskVolume2\Windows\Fonts | File | 740 | 1048577 | |
| 1900 | FontCachePort | ALPC Port | 744 | 2031617 | |
| 1900 | EtwRegistration | 748 | 2052 | ||
| 1900 | Event | 752 | 2031619 | ||
| 1900 | Semaphore | 756 | 1048579 | ||
| 1900 | Semaphore | 760 | 1048579 | ||
| 1900 | Semaphore | 764 | 1048579 | ||
| 1900 | Semaphore | 768 | 1048579 | ||
| 1900 | Semaphore | 772 | 1048579 | ||
| 1900 | Semaphore | 776 | 1048579 | ||
| 1900 | Semaphore | 780 | 1048579 | ||
| 1900 | Semaphore | 784 | 1048579 | ||
| 1900 | Mutant | 788 | 2031617 | ||
| 1900 | FntCache-d99aa6d4-c16e-43d0-a9d5-13e3310ef60b | Section | 796 | 983047 | |
| 1900 | TID 2224 PID 1900 | Thread | 800 | 2097151 | |
| 1016 | KnownDlls | Directory | 4 | 3 | |
| 1016 | \Device\HarddiskVolume2\Program Files\Nightly | File | 8 | 1048608 | |
| 1016 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 12 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 16 | 9 | |
| 1016 | ALPC Port | 20 | 2031617 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 24 | 9 | |
| 1016 | TID 1020 PID 1016 | Thread | 28 | 2122 | |
| 1016 | EtwRegistration | 32 | 2052 | ||
| 1016 | Event | 36 | 35586051 | ||
| 1016 | WinSta0 | WindowStation | 40 | 983935 | |
| 1016 | Default | Desktop | 44 | 983551 | |
| 1016 | WinSta0 | WindowStation | 48 | 983935 | |
| 1016 | MACHINE | Key | 52 | 983103 | |
| 1016 | EtwRegistration | 56 | 2052 | ||
| 1016 | Event | 60 | 2031619 | ||
| 1016 | Mutant | 64 | 2031617 | ||
| 1016 | Event | 68 | 2031619 | ||
| 1016 | Semaphore | 72 | 1048579 | ||
| 1016 | Semaphore | 76 | 1048579 | ||
| 1016 | Semaphore | 80 | 1048579 | ||
| 1016 | Semaphore | 84 | 1048579 | ||
| 1016 | Semaphore | 88 | 1048579 | ||
| 1016 | Semaphore | 92 | 1048579 | ||
| 1016 | EtwRegistration | 96 | 2052 | ||
| 1016 | EtwRegistration | 100 | 2052 | ||
| 1016 | EtwRegistration | 104 | 2052 | ||
| 1016 | EtwRegistration | 108 | 2052 | ||
| 1016 | EtwRegistration | 112 | 2052 | ||
| 1016 | EtwRegistration | 116 | 2052 | ||
| 1016 | EtwRegistration | 120 | 2052 | ||
| 1016 | EtwRegistration | 124 | 2052 | ||
| 1016 | Event | 128 | 2031619 | ||
| 1016 | Event | 132 | 2031619 | ||
| 1016 | Event | 136 | 2031619 | ||
| 1016 | Event | 140 | 2031619 | ||
| 1016 | Event | 144 | 2031619 | ||
| 1016 | Event | 148 | 2031619 | ||
| 1016 | BaseNamedObjects | Directory | 152 | 15 | |
| 1016 | EtwRegistration | 156 | 2052 | ||
| 1016 | EtwRegistration | 160 | 2052 | ||
| 1016 | EtwRegistration | 164 | 2052 | ||
| 1016 | EtwRegistration | 168 | 2052 | ||
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 172 | 1179785 | |
| 1016 | Event | 176 | 2031619 | ||
| 1016 | Mutant | 180 | 2031617 | ||
| 1016 | Event | 184 | 2031619 | ||
| 1016 | Mutant | 188 | 2031617 | ||
| 1016 | Mutant | 192 | 2031617 | ||
| 1016 | Event | 196 | 2031619 | ||
| 1016 | Mutant | 200 | 2031617 | ||
| 1016 | Event | 204 | 2031619 | ||
| 1016 | Event | 208 | 2031619 | ||
| 1016 | Event | 212 | 2031619 | ||
| 1016 | Event | 216 | 2031619 | ||
| 1016 | Event | 220 | 2031619 | ||
| 1016 | EtwRegistration | 224 | 2052 | ||
| 1016 | EtwRegistration | 228 | 2052 | ||
| 1016 | Event | 232 | 2031619 | ||
| 1016 | TID 1020 PID 1016 | Thread | 236 | 2097151 | |
| 1016 | ALPC Port | 240 | 2031617 | ||
| 1016 | Mutant | 244 | 2031617 | ||
| 1016 | Mutant | 248 | 2031617 | ||
| 1016 | TID 1020 PID 1016 | Thread | 252 | 2097151 | |
| 1016 | Semaphore | 256 | 2031619 | ||
| 1016 | TID 1020 PID 1016 | Thread | 260 | 2097151 | |
| 1016 | Event | 264 | 2031619 | ||
| 1016 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 268 | 983103 | |
| 1016 | Event | 272 | 2031619 | ||
| 1016 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 276 | 983103 | |
| 1016 | EtwRegistration | 280 | 2052 | ||
| 1016 | EtwRegistration | 284 | 2052 | ||
| 1016 | TID 1084 PID 1016 | Thread | 288 | 2097151 | |
| 1016 | Semaphore | 292 | 2031619 | ||
| 1016 | TID 1096 PID 1016 | Thread | 296 | 2097151 | |
| 1016 | \Device\KsecDD | File | 300 | 1048577 | |
| 1016 | Semaphore | 304 | 2031619 | ||
| 1016 | Event | 308 | 1048579 | ||
| 1016 | windows_shell_global_counters | Section | 312 | 6 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER | Key | 316 | 1 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 320 | 983103 | |
| 1016 | Event | 324 | 2031619 | ||
| 1016 | Event | 328 | 2031619 | ||
| 1016 | ALPC Port | 332 | 2031617 | ||
| 1016 | Section | 336 | 4 | ||
| 1016 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 340 | 1048608 | |
| 1016 | EtwRegistration | 344 | 2052 | ||
| 1016 | EtwRegistration | 348 | 2052 | ||
| 1016 | IoCompletion | 352 | 2031619 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 356 | 983103 | |
| 1016 | TpWorkerFactory | 360 | 983295 | ||
| 1016 | MaximumCommitCondition | Event | 372 | 1048577 | |
| 1016 | __ComCatalogCache__ | Section | 376 | 4 | |
| 1016 | EtwRegistration | 380 | 2052 | ||
| 1016 | EtwRegistration | 384 | 2052 | ||
| 1016 | windows_shell_global_counters | Section | 388 | 6 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{B4BFCC3A-DB2C-424C-B029-7FE99A87C641}\PROPERTYBAG | Key | 392 | 131097 | |
| 1016 | __ComCatalogCache__ | Section | 396 | 4 | |
| 1016 | ALPC Port | 400 | 2031617 | ||
| 1016 | Event | 404 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\parent.lock | File | 408 | 1180063 | |
| 1016 | TID 1184 PID 1016 | Thread | 412 | 2097151 | |
| 1016 | TID 1184 PID 1016 | Thread | 416 | 2097151 | |
| 1016 | Semaphore | 420 | 2031619 | ||
| 1016 | TID 1184 PID 1016 | Thread | 424 | 2122 | |
| 1016 | IoCompletion | 428 | 2031619 | ||
| 1016 | Event | 432 | 2031619 | ||
| 1016 | Event | 436 | 2031619 | ||
| 1016 | Event | 440 | 35586051 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 444 | 983103 | |
| 1016 | Event | 448 | 2031619 | ||
| 1016 | EtwRegistration | 452 | 2052 | ||
| 1016 | Section | 456 | 983045 | ||
| 1016 | Section | 460 | 983045 | ||
| 1016 | EtwRegistration | 464 | 2052 | ||
| 1016 | Event | 468 | 2031619 | ||
| 1016 | Event | 472 | 2031619 | ||
| 1016 | TID 1224 PID 1016 | Thread | 476 | 2097151 | |
| 1016 | Semaphore | 480 | 2031619 | ||
| 1016 | Event | 484 | 2031619 | ||
| 1016 | TID 1104 PID 1016 | Thread | 488 | 2097151 | |
| 1016 | \Device\Afd\Endpoint | File | 492 | 1442207 | |
| 1016 | \Device\Afd\AsyncConnectHlp | File | 496 | 34734495 | |
| 1016 | IoCompletion | 500 | 35586051 | ||
| 1016 | Semaphore | 504 | 2031619 | ||
| 1016 | Event | 508 | 2031619 | ||
| 1016 | Event | 512 | 2031619 | ||
| 1016 | TID 1224 PID 1016 | Thread | 516 | 2097151 | |
| 1016 | TID 1260 PID 1016 | Thread | 520 | 2097151 | |
| 1016 | ALPC Port | 524 | 2031617 | ||
| 1016 | KeyedEvent | 528 | 983043 | ||
| 1016 | \Device\Afd\Endpoint | File | 532 | 1442207 | |
| 1016 | Semaphore | 536 | 2031619 | ||
| 1016 | TID 1020 PID 1016 | Thread | 540 | 2138 | |
| 1016 | Event | 544 | 2031619 | ||
| 1016 | TID 1104 PID 1016 | Thread | 548 | 2097151 | |
| 1016 | Event | 552 | 2031619 | ||
| 1016 | TID 1220 PID 1016 | Thread | 556 | 2097151 | |
| 1016 | TID 1100 PID 1016 | Thread | 560 | 2097151 | |
| 1016 | TID 1180 PID 1016 | Thread | 564 | 2097151 | |
| 1016 | ALPC Port | 576 | 2031617 | ||
| 1016 | Event | 580 | 2031619 | ||
| 1016 | Event | 584 | 2031619 | ||
| 1016 | Timer | 588 | 2031619 | ||
| 1016 | TID 1108 PID 1016 | Thread | 592 | 2097151 | |
| 1016 | TID 1108 PID 1016 | Thread | 596 | 2097151 | |
| 1016 | Event | 600 | 2031619 | ||
| 1016 | Event | 604 | 2031619 | ||
| 1016 | TID 1268 PID 1016 | Thread | 608 | 2097151 | |
| 1016 | TID 1276 PID 1016 | Thread | 612 | 2097151 | |
| 1016 | Semaphore | 616 | 2031619 | ||
| 1016 | Semaphore | 620 | 2031619 | ||
| 1016 | Semaphore | 624 | 2031619 | ||
| 1016 | Semaphore | 628 | 2031619 | ||
| 1016 | Semaphore | 632 | 2031619 | ||
| 1016 | Semaphore | 636 | 2031619 | ||
| 1016 | TID 572 PID 1016 | Thread | 640 | 2097151 | |
| 1016 | Section | 644 | 983045 | ||
| 1016 | Semaphore | 648 | 2031619 | ||
| 1016 | TID 1020 PID 1016 | Thread | 652 | 2035711 | |
| 1016 | TID 1300 PID 1016 | Thread | 656 | 2097151 | |
| 1016 | TID 1380 PID 1016 | Thread | 660 | 2097151 | |
| 1016 | TID 1020 PID 1016 | Thread | 664 | 2122 | |
| 1016 | Event | 668 | 2031619 | ||
| 1016 | Event | 672 | 2031619 | ||
| 1016 | TID 1068 PID 1016 | Thread | 676 | 2122 | |
| 1016 | EtwRegistration | 680 | 2052 | ||
| 1016 | TID 1360 PID 1016 | Thread | 684 | 2097151 | |
| 1016 | EtwRegistration | 688 | 2052 | ||
| 1016 | EtwRegistration | 692 | 2052 | ||
| 1016 | EtwRegistration | 696 | 2052 | ||
| 1016 | EtwRegistration | 700 | 2052 | ||
| 1016 | EtwRegistration | 704 | 2052 | ||
| 1016 | Event | 708 | 35586051 | ||
| 1016 | ALPC Port | 712 | 2031617 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\webappsstore.sqlite-shm | File | 716 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\wshtcpip.dll.mui | File | 720 | 1179785 | |
| 1016 | Event | 724 | 2031619 | ||
| 1016 | Timer | 728 | 1048578 | ||
| 1016 | Timer | 732 | 1048578 | ||
| 1016 | Event | 736 | 2031619 | ||
| 1016 | Event | 740 | 2031619 | ||
| 1016 | Event | 744 | 2031619 | ||
| 1016 | Semaphore | 748 | 2031619 | ||
| 1016 | Semaphore | 752 | 2031619 | ||
| 1016 | Semaphore | 756 | 2031619 | ||
| 1016 | Mutant | 760 | 2031617 | ||
| 1016 | EtwRegistration | 764 | 2052 | ||
| 1016 | EtwRegistration | 768 | 2052 | ||
| 1016 | EtwRegistration | 772 | 2052 | ||
| 1016 | EtwRegistration | 776 | 2052 | ||
| 1016 | Event | 780 | 2031619 | ||
| 1016 | Section | 784 | 6 | ||
| 1016 | TID 924 PID 1016 | Thread | 788 | 2097151 | |
| 1016 | Event | 792 | 2031619 | ||
| 1016 | EtwRegistration | 796 | 2052 | ||
| 1016 | OLEE16C4D4437A24BD5BF4CA9567BEB | ALPC Port | 800 | 2031617 | |
| 1016 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 804 | 1 | |
| 1016 | ALPC Port | 812 | 2031617 | ||
| 1016 | Event | 816 | 2031619 | ||
| 1016 | MozillaUpdateMutex-mRgDIViIY78v1z8hKAwJ2hZQcVY= | Mutant | 820 | 2031617 | |
| 1016 | EtwRegistration | 824 | 2052 | ||
| 1016 | EtwRegistration | 828 | 2052 | ||
| 1016 | TID 1404 PID 1016 | Thread | 832 | 2097151 | |
| 1016 | Semaphore | 836 | 2031619 | ||
| 1016 | TID 1568 PID 1016 | Thread | 840 | 2097151 | |
| 1016 | EtwRegistration | 844 | 2052 | ||
| 1016 | Semaphore | 848 | 2031619 | ||
| 1016 | Semaphore | 852 | 2031619 | ||
| 1016 | Event | 856 | 2031619 | ||
| 1016 | TID 1360 PID 1016 | Thread | 860 | 2122 | |
| 1016 | Event | 864 | 2031619 | ||
| 1016 | TermSrvReadyEvent | Event | 868 | 1048576 | |
| 1016 | EtwRegistration | 872 | 2052 | ||
| 1016 | Event | 876 | 2031619 | ||
| 1016 | Semaphore | 880 | 1048579 | ||
| 1016 | Semaphore | 884 | 1048579 | ||
| 1016 | Semaphore | 888 | 1048579 | ||
| 1016 | Semaphore | 892 | 1048579 | ||
| 1016 | Semaphore | 896 | 1048579 | ||
| 1016 | Semaphore | 900 | 1048579 | ||
| 1016 | Semaphore | 904 | 1048579 | ||
| 1016 | Semaphore | 908 | 1048579 | ||
| 1016 | ALPC Port | 912 | 2031617 | ||
| 1016 | Event | 916 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\permissions.sqlite | File | 920 | 1180063 | |
| 1016 | Event | 924 | 1048579 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\places.sqlite | File | 928 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\places.sqlite-wal | File | 932 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\places.sqlite-shm | File | 936 | 1180063 | |
| 1016 | Section | 940 | 983047 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\content-prefs.sqlite | File | 944 | 1180063 | |
| 1016 | MSCTF.Asm.MutexDefault1 | Mutant | 948 | 1048576 | |
| 1016 | EtwRegistration | 952 | 2052 | ||
| 1016 | EtwRegistration | 956 | 2052 | ||
| 1016 | Event | 960 | 2031619 | ||
| 1016 | Mutant | 964 | 2031617 | ||
| 1016 | Event | 968 | 2031619 | ||
| 1016 | Mutant | 972 | 2031617 | ||
| 1016 | ALPC Port | 976 | 2031617 | ||
| 1016 | EtwRegistration | 980 | 2052 | ||
| 1016 | EtwRegistration | 984 | 2052 | ||
| 1016 | EtwRegistration | 988 | 2052 | ||
| 1016 | ALPC Port | 992 | 2031617 | ||
| 1016 | EtwRegistration | 996 | 2052 | ||
| 1016 | TID 1772 PID 1016 | Thread | 1000 | 2097151 | |
| 1016 | Event | 1004 | 35586051 | ||
| 1016 | Event | 1008 | 2031619 | ||
| 1016 | TID 1772 PID 1016 | Thread | 1012 | 2097151 | |
| 1016 | Event | 1016 | 2031619 | ||
| 1016 | Mutant | 1020 | 2031617 | ||
| 1016 | Mutant | 1024 | 2031617 | ||
| 1016 | ALPC Port | 1028 | 2031617 | ||
| 1016 | Event | 1032 | 2031619 | ||
| 1016 | Event | 1036 | 2031619 | ||
| 1016 | Event | 1040 | 2031619 | ||
| 1016 | EtwRegistration | 1044 | 2052 | ||
| 1016 | TID 1772 PID 1016 | Thread | 1048 | 16 | |
| 1016 | TID 1804 PID 1016 | Thread | 1052 | 2097151 | |
| 1016 | Event | 1056 | 2031619 | ||
| 1016 | Semaphore | 1060 | 2031619 | ||
| 1016 | Event | 1064 | 2031619 | ||
| 1016 | TID 1804 PID 1016 | Thread | 1068 | 2122 | |
| 1016 | TID 1068 PID 1016 | Thread | 1072 | 2097151 | |
| 1016 | Semaphore | 1076 | 2031619 | ||
| 1016 | Event | 1080 | 2031619 | ||
| 1016 | Section | 1084 | 983047 | ||
| 1016 | \Device\NamedPipe\chrome.1744.1cf598.4522864 | File | 1088 | 1704351 | |
| 1016 | Event | 1092 | 2031619 | ||
| 1016 | TID 776 PID 1016 | Thread | 1096 | 2097151 | |
| 1016 | Semaphore | 1100 | 2031619 | ||
| 1016 | Event | 1104 | 2031619 | ||
| 1016 | Event | 1108 | 2031619 | ||
| 1016 | TID 2408 PID 1016 | Thread | 1112 | 2122 | |
| 1016 | TID 1068 PID 1016 | Thread | 1116 | 2138 | |
| 1016 | Event | 1120 | 2031619 | ||
| 1016 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 1124 | 4 | |
| 1016 | EtwRegistration | 1132 | 2052 | ||
| 1016 | Event | 1136 | 2031619 | ||
| 1016 | Event | 1140 | 2031619 | ||
| 1016 | TID 1360 PID 1016 | Thread | 1144 | 2097151 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\webappsstore.sqlite-wal | File | 1148 | 1180063 | |
| 1016 | Event | 1152 | 35586051 | ||
| 1016 | TID 1364 PID 1016 | Thread | 1156 | 2097151 | |
| 1016 | TID 1364 PID 1016 | Thread | 1160 | 2097151 | |
| 1016 | Semaphore | 1164 | 2031619 | ||
| 1016 | TID 1364 PID 1016 | Thread | 1168 | 2122 | |
| 1016 | Event | 1172 | 2031619 | ||
| 1016 | Event | 1176 | 2031619 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\FONTSUBSTITUTES | Key | 1180 | 131097 | |
| 1016 | EtwRegistration | 1184 | 2052 | ||
| 1016 | TID 1364 PID 1016 | Thread | 1188 | 2122 | |
| 1016 | Event | 1192 | 35586051 | ||
| 1016 | Event | 1196 | 1048579 | ||
| 1016 | EtwRegistration | 1200 | 2052 | ||
| 1016 | EtwRegistration | 1204 | 2052 | ||
| 1016 | EtwRegistration | 1208 | 2052 | ||
| 1016 | TID 1368 PID 1016 | Thread | 1212 | 2122 | |
| 1016 | TID 1368 PID 1016 | Thread | 1216 | 2097151 | |
| 1016 | TID 1368 PID 1016 | Thread | 1220 | 2097151 | |
| 1016 | Semaphore | 1224 | 2031619 | ||
| 1016 | TID 1368 PID 1016 | Thread | 1228 | 2122 | |
| 1016 | Event | 1232 | 2031619 | ||
| 1016 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 1236 | 131097 | |
| 1016 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 1240 | 131097 | |
| 1016 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 1244 | 131097 | |
| 1016 | Event | 1248 | 35586051 | ||
| 1016 | Event | 1252 | 35586051 | ||
| 1016 | TID 1356 PID 1016 | Thread | 1256 | 2097151 | |
| 1016 | Semaphore | 1260 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Windows\Fonts\StaticCache.dat | File | 1264 | 1179785 | |
| 1016 | Section | 1268 | 983045 | ||
| 1016 | Event | 1272 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\reading-list-temp2.sqlite | File | 1276 | 1180063 | |
| 1016 | Event | 1280 | 2031619 | ||
| 1016 | Event | 1284 | 2031619 | ||
| 1016 | Event | 1288 | 1048579 | ||
| 1016 | \Device\HarddiskVolume2\Users\ADMINI~1\AppData\Roaming\Mozilla\Firefox\Profiles\FGOYTV~1.DEF\cert8.db | File | 1292 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Users\ADMINI~1\AppData\Roaming\Mozilla\Firefox\Profiles\FGOYTV~1.DEF\key3.db | File | 1296 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\reading-list-temp2.sqlite-wal | File | 1300 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\reading-list-temp2.sqlite-shm | File | 1304 | 1180063 | |
| 1016 | Section | 1308 | 983047 | ||
| 1016 | Mutant | 1312 | 2031617 | ||
| 1016 | Event | 1316 | 2031619 | ||
| 1016 | IoCompletion | 1320 | 2031619 | ||
| 1016 | Event | 1324 | 2031619 | ||
| 1016 | TID 1756 PID 1016 | Thread | 1328 | 2097151 | |
| 1016 | Mutant | 1332 | 2031617 | ||
| 1016 | Event | 1336 | 2031619 | ||
| 1016 | IoCompletion | 1340 | 2031619 | ||
| 1016 | TpWorkerFactory | 1344 | 983295 | ||
| 1016 | \Device\NamedPipe\gecko-crash-server-pipe.1016 | File | 1348 | 1704351 | |
| 1016 | \Device\NamedPipe\chrome.1016.d811700.876709016 | File | 1352 | 1704351 | |
| 1016 | plugin-contain(1744) | Process | 1356 | 2097151 | |
| 1016 | Event | 1360 | 2031619 | ||
| 1016 | TID 1184 PID 1016 | Thread | 1364 | 2097151 | |
| 1016 | Event | 1368 | 2031619 | ||
| 1016 | plugin-contain(1744) | Process | 1372 | 1053777 | |
| 1016 | Token | 1376 | 983551 | ||
| 1016 | Token | 1380 | 983551 | ||
| 1016 | Event | 1384 | 35586051 | ||
| 1016 | Event | 1388 | 1048579 | ||
| 1016 | plugin-contain(1744) | Process | 1392 | 1053777 | |
| 1016 | plugin-contain(1744) | Process | 1396 | 2097151 | |
| 1016 | Mutant | 1400 | 2031617 | ||
| 1016 | Section | 1404 | 983047 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 1408 | 8 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 1412 | 8 | |
| 1016 | Event | 1416 | 2031619 | ||
| 1016 | Event | 1420 | 2031619 | ||
| 1016 | Event | 1424 | 2031619 | ||
| 1016 | Event | 1428 | 2031619 | ||
| 1016 | Event | 1432 | 2031619 | ||
| 1016 | Event | 1436 | 2031619 | ||
| 1016 | Event | 1440 | 2031619 | ||
| 1016 | Event | 1444 | 2031619 | ||
| 1016 | Event | 1448 | 2031619 | ||
| 1016 | Event | 1452 | 2031619 | ||
| 1016 | Event | 1456 | 2031619 | ||
| 1016 | Event | 1460 | 2031619 | ||
| 1016 | Event | 1464 | 2031619 | ||
| 1016 | Event | 1468 | 2031619 | ||
| 1016 | Event | 1472 | 1048579 | ||
| 1016 | \Device\NamedPipe\chrome.1016.1fcf38.143326869 | File | 1476 | 1704351 | |
| 1016 | \Device\NamedPipe\chrome.1016.1fcf38.1454667999 | File | 1480 | 1704351 | |
| 1016 | \Device\NamedPipe\chrome.1016.1fd030.1061301691 | File | 1484 | 1704351 | |
| 1016 | plugin-contain(1744) | Process | 1488 | 2097151 | |
| 1016 | Event | 1492 | 2031619 | ||
| 1016 | Event | 1496 | 2031619 | ||
| 1016 | EtwRegistration | 1500 | 2052 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS | Key | 1504 | 131097 | |
| 1016 | ALPC Port | 1508 | 2031617 | ||
| 1016 | EtwRegistration | 1512 | 2052 | ||
| 1016 | EtwRegistration | 1516 | 2052 | ||
| 1016 | EtwRegistration | 1520 | 2052 | ||
| 1016 | EtwRegistration | 1524 | 2052 | ||
| 1016 | TID 1712 PID 1016 | Thread | 1528 | 2097151 | |
| 1016 | Semaphore | 1532 | 2031619 | ||
| 1016 | Event | 1536 | 2031619 | ||
| 1016 | Event | 1540 | 2031619 | ||
| 1016 | plugin-contain(1744) | Process | 1544 | 1053761 | |
| 1016 | plugin-contain(1744) | Process | 1548 | 1053761 | |
| 1016 | Event | 1552 | 2031619 | ||
| 1016 | Event | 1556 | 2031619 | ||
| 1016 | TID 1860 PID 1016 | Thread | 1560 | 2097151 | |
| 1016 | TID 1860 PID 1016 | Thread | 1564 | 2097151 | |
| 1016 | Semaphore | 1568 | 2031619 | ||
| 1016 | TID 1860 PID 1016 | Thread | 1572 | 2122 | |
| 1016 | Event | 1576 | 2031619 | ||
| 1016 | plugin-contain(1744) | Process | 1580 | 1053761 | |
| 1016 | TID 1860 PID 1016 | Thread | 1584 | 2122 | |
| 1016 | Event | 1588 | 1048579 | ||
| 1016 | TID 320 PID 1016 | Thread | 1592 | 2097151 | |
| 1016 | Event | 1596 | 1048579 | ||
| 1016 | Event | 1600 | 35586051 | ||
| 1016 | Semaphore | 1604 | 2031619 | ||
| 1016 | TID 2032 PID 1016 | Thread | 1608 | 2097151 | |
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 1612 | 1179785 | |
| 1016 | Event | 1616 | 2031619 | ||
| 1016 | TID 320 PID 1016 | Thread | 1620 | 2122 | |
| 1016 | Event | 1624 | 35586051 | ||
| 1016 | Event | 1628 | 2031619 | ||
| 1016 | Event | 1632 | 2031619 | ||
| 1016 | Event | 1636 | 1048579 | ||
| 1016 | TID 320 PID 1016 | Thread | 1640 | 2138 | |
| 1016 | Event | 1652 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\webappsstore.sqlite | File | 1660 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\webappsstore.sqlite | File | 1664 | 1179785 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\webappsstore.sqlite-wal | File | 1668 | 1180063 | |
| 1016 | TID 280 PID 1016 | Thread | 1672 | 2097151 | |
| 1016 | Semaphore | 1676 | 2031619 | ||
| 1016 | Semaphore | 1680 | 2031619 | ||
| 1016 | TID 284 PID 1016 | Thread | 1684 | 2097151 | |
| 1016 | plugin-contain(1744) | Process | 1688 | 1053761 | |
| 1016 | Event | 1692 | 2031619 | ||
| 1016 | Event | 1696 | 1048579 | ||
| 1016 | Event | 1700 | 1048579 | ||
| 1016 | Event | 1704 | 2031619 | ||
| 1016 | Semaphore | 1708 | 2031619 | ||
| 1016 | Event | 1712 | 35586051 | ||
| 1016 | Event | 1716 | 1048579 | ||
| 1016 | TID 1004 PID 1016 | Thread | 1720 | 2097151 | |
| 1016 | TID 1528 PID 1016 | Thread | 1724 | 2097151 | |
| 1016 | Semaphore | 1728 | 2031619 | ||
| 1016 | Event | 1732 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\places.sqlite | File | 1736 | 1179785 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\places.sqlite-wal | File | 1740 | 1180063 | |
| 1016 | Semaphore | 1744 | 2031619 | ||
| 1016 | TID 1524 PID 1016 | Thread | 1748 | 2097151 | |
| 1016 | Event | 1752 | 2031619 | ||
| 1016 | Event | 1756 | 35586051 | ||
| 1016 | Semaphore | 1760 | 2031619 | ||
| 1016 | Event | 1764 | 2031619 | ||
| 1016 | Event | 1768 | 1048579 | ||
| 1016 | TID 1984 PID 1016 | Thread | 1772 | 2097151 | |
| 1016 | Semaphore | 1776 | 2031619 | ||
| 1016 | Event | 1784 | 1048579 | ||
| 1016 | Event | 1788 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\places.sqlite | File | 1792 | 1179785 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\places.sqlite-wal | File | 1796 | 1180063 | |
| 1016 | Event | 1800 | 35586051 | ||
| 1016 | TID 1092 PID 1016 | Thread | 1804 | 2097151 | |
| 1016 | Semaphore | 1808 | 2031619 | ||
| 1016 | Event | 1816 | 1048579 | ||
| 1016 | Event | 1820 | 35586051 | ||
| 1016 | EtwRegistration | 1824 | 2052 | ||
| 1016 | Event | 1828 | 2031619 | ||
| 1016 | Event | 1836 | 35586051 | ||
| 1016 | \Device\Nsi | File | 1844 | 1048704 | |
| 1016 | TID 2684 PID 1016 | Thread | 1852 | 2097151 | |
| 1016 | EtwRegistration | 1856 | 2052 | ||
| 1016 | Semaphore | 1860 | 2031619 | ||
| 1016 | EtwRegistration | 1864 | 2052 | ||
| 1016 | EtwRegistration | 1872 | 2052 | ||
| 1016 | EtwRegistration | 1880 | 2052 | ||
| 1016 | EtwRegistration | 1884 | 2052 | ||
| 1016 | Section | 1888 | 983046 | ||
| 1016 | EtwRegistration | 1896 | 2052 | ||
| 1016 | Event | 1900 | 2031619 | ||
| 1016 | Section | 1904 | 983046 | ||
| 1016 | Section | 1912 | 983046 | ||
| 1016 | ALPC Port | 1916 | 2031617 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\cookies.sqlite | File | 1920 | 1180063 | |
| 1016 | Event | 1924 | 1048579 | ||
| 1016 | Event | 1928 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\cookies.sqlite-wal | File | 1932 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\cookies.sqlite-shm | File | 1936 | 1180063 | |
| 1016 | EtwRegistration | 1940 | 2052 | ||
| 1016 | ZonesLockedCacheCounterMutex | Mutant | 1944 | 2031617 | |
| 1016 | TID 780 PID 1016 | Thread | 1948 | 2097151 | |
| 1016 | Semaphore | 1952 | 2031619 | ||
| 1016 | Event | 1956 | 2031619 | ||
| 1016 | Event | 1960 | 35586051 | ||
| 1016 | Section | 1964 | 983047 | ||
| 1016 | Event | 1968 | 1048579 | ||
| 1016 | Event | 1972 | 2031619 | ||
| 1016 | TID 1444 PID 1016 | Thread | 1976 | 2097151 | |
| 1016 | Semaphore | 1980 | 2031619 | ||
| 1016 | Event | 1984 | 35586051 | ||
| 1016 | \Device\HarddiskVolume2\Users\ADMINI~1\AppData\Local\Temp\etilqs_Xdf1oz82KpRFY8W | File | 1988 | 1245599 | |
| 1016 | \Device\HarddiskVolume2\Users\ADMINI~1\AppData\Local\Temp\etilqs_OryfOtfgvLNEBmw | File | 1992 | 1245599 | |
| 1016 | EtwRegistration | 1996 | 2052 | ||
| 1016 | EtwRegistration | 2000 | 2052 | ||
| 1016 | EtwRegistration | 2004 | 2052 | ||
| 1016 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2008 | 1048608 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 2012 | 131103 | |
| 1016 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 2016 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 2020 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 2024 | 131097 | |
| 1016 | MACHINE\SOFTWARE\POLICIES | Key | 2028 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\POLICIES | Key | 2032 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE | Key | 2036 | 131097 | |
| 1016 | MACHINE\SOFTWARE | Key | 2040 | 131097 | |
| 1016 | Semaphore | 2044 | 1048579 | ||
| 1016 | Semaphore | 2052 | 1048579 | ||
| 1016 | ALPC Port | 2056 | 2031617 | ||
| 1016 | _!MSFTHISTORY!_ | Mutant | 2060 | 2031617 | |
| 1016 | c:!users!administrator!appdata!local!microsoft!windows!temporary internet files!content.ie5! | Mutant | 2064 | 2031617 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat | File | 2068 | 1180063 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\formhistory.sqlite | File | 2072 | 1180063 | |
| 1016 | C:_Users_Administrator_AppData_Local_Microsoft_Windows_Temporary Internet Files_Content.IE5_index.dat_229376 | Section | 2076 | 983047 | |
| 1016 | c:!users!administrator!appdata!roaming!microsoft!windows!cookies! | Mutant | 2080 | 2031617 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Cookies\index.dat | File | 2084 | 1180063 | |
| 1016 | C:_Users_Administrator_AppData_Roaming_Microsoft_Windows_Cookies_index.dat_49152 | Section | 2088 | 983047 | |
| 1016 | c:!users!administrator!appdata!local!microsoft!windows!history!history.ie5! | Mutant | 2092 | 2031617 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat | File | 2096 | 1180063 | |
| 1016 | C:_Users_Administrator_AppData_Local_Microsoft_Windows_History_History.IE5_index.dat_49152 | Section | 2100 | 983047 | |
| 1016 | WininetConnectionMutex | Mutant | 2104 | 2031617 | |
| 1016 | WininetProxyRegistryMutex | Mutant | 2108 | 2031617 | |
| 1016 | WininetStartupMutex | Mutant | 2112 | 2031617 | |
| 1016 | Event | 2116 | 2031619 | ||
| 1016 | RasPbFile | Mutant | 2120 | 2031617 | |
| 1016 | Event | 2124 | 2031619 | ||
| 1016 | Event | 2128 | 2031619 | ||
| 1016 | Event | 2132 | 2031619 | ||
| 1016 | Event | 2136 | 2031619 | ||
| 1016 | Event | 2140 | 2031619 | ||
| 1016 | Event | 2144 | 2031619 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\TRACING\FIREFOX_RASAPI32 | Key | 2148 | 131097 | |
| 1016 | Event | 2152 | 2031619 | ||
| 1016 | Event | 2156 | 2031619 | ||
| 1016 | USER | Key | 2160 | 983103 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\TRACING\FIREFOX_RASMANCS | Key | 2164 | 131097 | |
| 1016 | Event | 2168 | 2031619 | ||
| 1016 | Event | 2172 | 2031619 | ||
| 1016 | TID 1820 PID 1016 | Thread | 2176 | 2097151 | |
| 1016 | ALPC Port | 2180 | 2031617 | ||
| 1016 | Event | 2184 | 2031619 | ||
| 1016 | TID 1820 PID 1016 | Thread | 2188 | 2097151 | |
| 1016 | TID 1820 PID 1016 | Thread | 2192 | 16 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 2196 | 3 | |
| 1016 | TID 1760 PID 1016 | Thread | 2200 | 2097151 | |
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\wininet.dll.mui | File | 2204 | 1179785 | |
| 1016 | Semaphore | 2208 | 2031619 | ||
| 1016 | Event | 2212 | 1048579 | ||
| 1016 | Event | 2216 | 2031619 | ||
| 1016 | Event | 2220 | 35586051 | ||
| 1016 | Event | 2224 | 35586051 | ||
| 1016 | Event | 2228 | 1048579 | ||
| 1016 | Event | 2232 | 35586051 | ||
| 1016 | Event | 2240 | 2031619 | ||
| 1016 | TID 3148 PID 1016 | Thread | 2244 | 2097151 | |
| 1016 | TID 1532 PID 1016 | Thread | 2248 | 2097151 | |
| 1016 | Semaphore | 2256 | 2031619 | ||
| 1016 | Event | 2264 | 1048579 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 2268 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE | Key | 2272 | 131097 | |
| 1016 | Event | 2280 | 35586051 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_UNC_SAVEDFILECHECK | Key | 2284 | 131097 | |
| 1016 | Event | 2288 | 1048579 | ||
| 1016 | Event | 2296 | 35586051 | ||
| 1016 | Event | 2316 | 1048579 | ||
| 1016 | ZonesCounterMutex | Mutant | 2324 | 2031617 | |
| 1016 | EtwRegistration | 2328 | 2052 | ||
| 1016 | Event | 2336 | 1048579 | ||
| 1016 | Event | 2340 | 1048579 | ||
| 1016 | Event | 2344 | 1048579 | ||
| 1016 | Event | 2348 | 35586051 | ||
| 1016 | Event | 2352 | 1048579 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\healthreport.sqlite | File | 2364 | 1180063 | |
| 1016 | Event | 2368 | 1048579 | ||
| 1016 | Event | 2372 | 1048579 | ||
| 1016 | Event | 2376 | 1048579 | ||
| 1016 | Event | 2380 | 1048579 | ||
| 1016 | Event | 2384 | 1048579 | ||
| 1016 | Semaphore | 2388 | 2031619 | ||
| 1016 | TID 572 PID 1016 | Thread | 2392 | 2097151 | |
| 1016 | Event | 2396 | 2031619 | ||
| 1016 | Event | 2400 | 1048579 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\healthreport.sqlite-wal | File | 2404 | 1180063 | |
| 1016 | TID 1432 PID 1016 | Thread | 2408 | 2097151 | |
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\fgoytv3f.default\healthreport.sqlite-shm | File | 2412 | 1180063 | |
| 1016 | Event | 2416 | 2031619 | ||
| 1016 | Semaphore | 2420 | 2031619 | ||
| 1016 | Section | 2424 | 983047 | ||
| 1016 | Event | 2428 | 35586051 | ||
| 1016 | Event | 2432 | 2031619 | ||
| 1016 | EtwRegistration | 2436 | 2052 | ||
| 1016 | TID 1480 PID 1016 | Thread | 2440 | 2097151 | |
| 1016 | Semaphore | 2444 | 2031619 | ||
| 1016 | Event | 2448 | 2031619 | ||
| 1016 | Event | 2452 | 35586051 | ||
| 1016 | Event | 2460 | 2031619 | ||
| 1016 | Event | 2464 | 2031619 | ||
| 1016 | Event | 2468 | 1048579 | ||
| 1016 | Event | 2472 | 1048579 | ||
| 1016 | Event | 2476 | 1048579 | ||
| 1016 | Event | 2480 | 35586051 | ||
| 1016 | Event | 2484 | 2031619 | ||
| 1016 | Event | 2492 | 2031619 | ||
| 1016 | Event | 2496 | 2031619 | ||
| 1016 | Event | 2500 | 35586051 | ||
| 1016 | TID 1760 PID 1016 | Thread | 2504 | 2097151 | |
| 1016 | Event | 2508 | 2031619 | ||
| 1016 | TID 1532 PID 1016 | Thread | 2512 | 2097151 | |
| 1016 | Event | 2516 | 35586051 | ||
| 1016 | Event | 2524 | 1048579 | ||
| 1016 | Event | 2528 | 1048579 | ||
| 1016 | Event | 2532 | 1048579 | ||
| 1016 | Event | 2540 | 1048579 | ||
| 1016 | TID 2408 PID 1016 | Thread | 2544 | 2097151 | |
| 1016 | Event | 2548 | 1048579 | ||
| 1016 | Event | 2568 | 35586051 | ||
| 1016 | Event | 2584 | 1048579 | ||
| 1016 | Event | 2592 | 1048579 | ||
| 1016 | EtwRegistration | 2604 | 2052 | ||
| 1016 | MACHINE\SOFTWARE\MOZILLAPLUGINS | Key | 2608 | 131097 | |
| 1016 | Event | 2612 | 2031619 | ||
| 1016 | Event | 2616 | 1048579 | ||
| 1016 | EtwRegistration | 2620 | 2052 | ||
| 1016 | EtwRegistration | 2624 | 2052 | ||
| 1016 | EtwRegistration | 2628 | 2052 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\INTERNET EXPLORER\IETLD | Key | 2632 | 131097 | |
| 1016 | Event | 2636 | 1048579 | ||
| 1016 | !IETld!Mutex | Mutant | 2640 | 1048577 | |
| 1016 | UrlZonesSM_Administrator | Section | 2644 | 983047 | |
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\urlmon.dll.mui | File | 2648 | 1179785 | |
| 1016 | Event | 2652 | 1048579 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER | Key | 2656 | 131097 | |
| 1016 | Event | 2660 | 1048579 | ||
| 1016 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 2664 | 1048608 | |
| 1016 | Event | 2668 | 1048579 | ||
| 1016 | ZoneAttributeCacheCounterMutex | Mutant | 2672 | 2031617 | |
| 1016 | Event | 2676 | 1048579 | ||
| 1016 | Event | 2680 | 1048579 | ||
| 1016 | Semaphore | 2684 | 1048579 | ||
| 1016 | Semaphore | 2688 | 2031619 | ||
| 1016 | TID 3148 PID 1016 | Thread | 2692 | 2122 | |
| 1016 | Event | 2696 | 1048579 | ||
| 1016 | TID 3388 PID 1016 | Thread | 2700 | 2097151 | |
| 1016 | TID 1532 PID 1016 | Thread | 2704 | 2097151 | |
| 1016 | ZoneAttributeCacheCounterMutex | Mutant | 2708 | 2031617 | |
| 1016 | Semaphore | 2712 | 2031619 | ||
| 1016 | Event | 2716 | 1048579 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDPEOPLE | Key | 2720 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\SMARTCARDROOT | Key | 2724 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\ROOT | Key | 2728 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT | Key | 2732 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT | Key | 2736 | 131097 | |
| 1016 | Semaphore | 2740 | 1048579 | ||
| 1016 | Event | 2744 | 2031619 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\DISALLOWED | Key | 2748 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED | Key | 2752 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 2756 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED | Key | 2760 | 131097 | |
| 1016 | Section | 2764 | 983046 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\CA | Key | 2768 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA | Key | 2772 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 2776 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA | Key | 2780 | 131097 | |
| 1016 | Event | 2784 | 1048579 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\MY | Key | 2788 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT | Key | 2792 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\CRYPTOGRAPHY\OID\ENCODINGTYPE 0\CERTDLLCREATECERTIFICATECHAINENGINE\CONFIG | Key | 2796 | 131097 | |
| 1016 | Semaphore | 2800 | 1048579 | ||
| 1016 | Semaphore | 2804 | 1048579 | ||
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\dnsapi.dll.mui | File | 2808 | 1179785 | |
| 1016 | \Device\KsecDD | File | 2812 | 1048579 | |
| 1016 | Event | 2816 | 2031619 | ||
| 1016 | Semaphore | 2820 | 1048579 | ||
| 1016 | Semaphore | 2824 | 1048579 | ||
| 1016 | Event | 2828 | 1048579 | ||
| 1016 | Section | 2832 | 983046 | ||
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\crypt32.dll.mui | File | 2836 | 1179785 | |
| 1016 | Event | 2848 | 2031619 | ||
| 1016 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\CRYPT32 | Key | 2852 | 131097 | |
| 1016 | EtwRegistration | 2856 | 2052 | ||
| 1016 | Event | 2860 | 1048579 | ||
| 1016 | Section | 2864 | 983046 | ||
| 1016 | ZonesCacheCounterMutex | Mutant | 2868 | 2031617 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\SMARTCARDROOT | Key | 2872 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 2876 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDPEOPLE | Key | 2880 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\TRUSTEDPEOPLE | Key | 2884 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUST | Key | 2888 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 2892 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUST | Key | 2896 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\TRUST | Key | 2900 | 131097 | |
| 1016 | Event | 2904 | 2031619 | ||
| 1016 | Event | 2908 | 2031619 | ||
| 1016 | Event | 2912 | 2031619 | ||
| 1016 | Event | 2916 | 2031619 | ||
| 1016 | Event | 2920 | 2031619 | ||
| 1016 | Event | 2924 | 2031619 | ||
| 1016 | Event | 2928 | 2031619 | ||
| 1016 | Event | 2932 | 2031619 | ||
| 1016 | Event | 2936 | 2031619 | ||
| 1016 | Event | 2940 | 2031619 | ||
| 1016 | Event | 2944 | 2031619 | ||
| 1016 | Event | 2948 | 2031619 | ||
| 1016 | Event | 2952 | 2031619 | ||
| 1016 | ALPC Port | 2956 | 2031617 | ||
| 1016 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES | Key | 2960 | 131097 | |
| 1016 | Event | 2964 | 2031619 | ||
| 1016 | Event | 2968 | 2031619 | ||
| 1016 | Event | 2972 | 2031619 | ||
| 1016 | Event | 2976 | 2031619 | ||
| 1016 | Event | 2980 | 2031619 | ||
| 1016 | Event | 2984 | 2031619 | ||
| 1016 | Event | 2988 | 2031619 | ||
| 1016 | Event | 2992 | 2031619 | ||
| 1016 | Event | 2996 | 2031619 | ||
| 1016 | Event | 3000 | 2031619 | ||
| 1016 | Event | 3004 | 2031619 | ||
| 1016 | Event | 3008 | 2031619 | ||
| 1016 | Event | 3012 | 2031619 | ||
| 1016 | Event | 3016 | 2031619 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES | Key | 3020 | 131097 | |
| 1016 | Event | 3024 | 2031619 | ||
| 1016 | Event | 3028 | 2031619 | ||
| 1016 | Event | 3032 | 2031619 | ||
| 1016 | Event | 3036 | 2031619 | ||
| 1016 | Event | 3040 | 2031619 | ||
| 1016 | Event | 3044 | 2031619 | ||
| 1016 | Event | 3048 | 2031619 | ||
| 1016 | Event | 3052 | 2031619 | ||
| 1016 | Event | 3056 | 2031619 | ||
| 1016 | Event | 3060 | 2031619 | ||
| 1016 | Event | 3064 | 2031619 | ||
| 1016 | Event | 3068 | 2031619 | ||
| 1016 | Event | 3072 | 2031619 | ||
| 1016 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My | File | 3076 | 1048577 | |
| 1016 | Event | 3080 | 2031619 | ||
| 1016 | Event | 3084 | 2031619 | ||
| 1016 | Event | 3088 | 2031619 | ||
| 1016 | Event | 3092 | 2031619 | ||
| 1016 | Event | 3096 | 2031619 | ||
| 1016 | Event | 3100 | 2031619 | ||
| 1016 | Event | 3104 | 2031619 | ||
| 1016 | Event | 3108 | 2031619 | ||
| 1016 | Event | 3112 | 2031619 | ||
| 1016 | Event | 3116 | 2031619 | ||
| 1016 | Event | 3120 | 2031619 | ||
| 1016 | Event | 3124 | 2031619 | ||
| 1016 | Event | 3128 | 2031619 | ||
| 1016 | Event | 3132 | 2031619 | ||
| 1016 | Event | 3136 | 2031619 | ||
| 1016 | Event | 3140 | 2031619 | ||
| 1016 | Event | 3144 | 2031619 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_LOCALMACHINE_LOCKDOWN | Key | 3148 | 131097 | |
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\NETWORK\LOCATION AWARENESS | Key | 3156 | 131097 | |
| 1016 | Event | 3160 | 2031619 | ||
| 1016 | Event | 3164 | 2031619 | ||
| 1016 | TID 388 PID 1016 | Thread | 3168 | 2097151 | |
| 1016 | Event | 3172 | 2031619 | ||
| 1016 | Event | 3176 | 1048579 | ||
| 1016 | TID 388 PID 1016 | Thread | 3180 | 2097151 | |
| 1016 | TID 388 PID 1016 | Thread | 3184 | 2097151 | |
| 1016 | Event | 3188 | 1048579 | ||
| 1016 | EtwRegistration | 3192 | 2052 | ||
| 1016 | Event | 3196 | 2031619 | ||
| 1016 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\WPAD | Key | 3204 | 131103 | |
| 1016 | Event | 3212 | 2031619 | ||
| 1016 | Event | 3228 | 1048579 | ||
| 1016 | Event | 3232 | 1048579 | ||
| 1016 | Event | 3236 | 35586051 | ||
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{F3CE0F7C-4901-4ACC-8648-D5D44B04EF8F}\PROPERTYBAG | Key | 3256 | 131097 | |
| 1016 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 3264 | 4 | |
| 1016 | C:*ProgramData*Microsoft*Windows*Caches*{6AF0698E-D558-4F6E-9B3C-3716689AF493}.2.ver0x0000000000000003.db | Section | 3268 | 4 | |
| 1016 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 3272 | 4 | |
| 1016 | C:*ProgramData*Microsoft*Windows*Caches*{DDF571F2-BE98-426D-8288-1A9A39C3FDA2}.2.ver0x0000000000000001.db | Section | 3276 | 4 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{F38BF404-1D43-42F2-9305-67DE0B28FC23}\PROPERTYBAG | Key | 3280 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{18989B1D-99B5-455B-841C-AB7C74E4DDFC}\PROPERTYBAG | Key | 3284 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{2112AB0A-C86A-4FFE-A368-0DE96E47012E}\PROPERTYBAG | Key | 3288 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{491E922F-5643-4AF4-A7EB-4E7A138D8174}\PROPERTYBAG | Key | 3292 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{33E28130-4E1E-4676-835A-98395C3BC3BB}\PROPERTYBAG | Key | 3296 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{56784854-C6CB-462B-8169-88E350ACB882}\PROPERTYBAG | Key | 3300 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{2400183A-6185-49FB-A2D8-4A392A602BA3}\PROPERTYBAG | Key | 3304 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{52528A6B-B9E3-4ADD-B60D-588C2DBA842D}\PROPERTYBAG | Key | 3308 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{A302545D-DEFF-464B-ABE8-61C8648D939B}\PROPERTYBAG | Key | 3312 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\PROPERTYBAG | Key | 3316 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{4BD8D571-6D19-48D3-BE97-422220080E43}\PROPERTYBAG | Key | 3320 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{7B0DB17D-9CD2-4A93-9733-46CC89022E7C}\PROPERTYBAG | Key | 3324 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{B6EBFB86-6907-413C-9AF7-4FC2ABF07CC5}\PROPERTYBAG | Key | 3328 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{ED4824AF-DCE4-45A8-81E2-FC7965083634}\PROPERTYBAG | Key | 3332 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{A990AE9F-A03B-4E80-94BC-9912D7504104}\PROPERTYBAG | Key | 3336 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{D65231B0-B2F1-4857-A4CE-A8E7C6EA7D27}\PROPERTYBAG | Key | 3340 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{905E63B6-C1BF-494E-B29C-65B732D3D21A}\PROPERTYBAG | Key | 3344 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{3214FAB5-9757-4298-BB61-92A9DEAA44FF}\PROPERTYBAG | Key | 3348 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{FD228CB7-AE11-4AE3-864C-16F3910AB8FE}\PROPERTYBAG | Key | 3352 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{FDD39AD0-238F-46AF-ADB4-6C85480369C7}\PROPERTYBAG | Key | 3356 | 131097 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\PROPERTYBAG | Key | 3364 | 131097 | |
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\shell32.dll.mui | File | 3392 | 1179785 | |
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\shdocvw.dll.mui | File | 3444 | 1179785 | |
| 1016 | windows_shell_global_counters | Section | 3452 | 6 | |
| 1016 | MACHINE\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_PROTOCOL_LOCKDOWN | Key | 3456 | 131097 | |
| 1016 | EtwRegistration | 3468 | 2052 | ||
| 1016 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.c..-controls.resources_6595b64144ccf1df_6.0.7600.16385_en-us_581cd2bf5825dde9 | File | 3472 | 1048608 | |
| 1016 | EtwRegistration | 3476 | 2052 | ||
| 1016 | Event | 3484 | 2031619 | ||
| 1016 | Event | 3488 | 1048579 | ||
| 1016 | TID 2684 PID 1016 | Thread | 3500 | 2097151 | |
| 1016 | Event | 3504 | 1048579 | ||
| 1016 | Event | 3512 | 1048579 | ||
| 1016 | Event | 3516 | 35586051 | ||
| 1016 | BaseNamedObjects | Directory | 3524 | 15 | |
| 1016 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 3540 | 1048608 | |
| 1016 | Event | 3544 | 1048579 | ||
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\user32.dll.mui | File | 3548 | 1179785 | |
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\winhttp.dll.mui | File | 3552 | 1179785 | |
| 1016 | TID 2408 PID 1016 | Thread | 3564 | 2138 | |
| 1016 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.c..-controls.resources_6595b64144ccf1df_6.0.7600.16385_en-us_581cd2bf5825dde9\comctl32.dll.mui | File | 3568 | 1179785 | |
| 1016 | \Device\HarddiskVolume2\Windows\System32\en-US\propsys.dll.mui | File | 3572 | 1179785 | |
| 1016 | Event | 3576 | 2031619 | ||
| 1016 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NETWORKPROVIDER\HWORDER | Key | 3580 | 131097 | |
| 1016 | Semaphore | 3584 | 1048579 | ||
| 1016 | Semaphore | 3588 | 1048579 | ||
| 1016 | ALPC Port | 3596 | 2031617 | ||
| 1744 | Section | 4 | 6 | ||
| 1744 | Event | 8 | 1048578 | ||
| 1744 | Event | 12 | 1048578 | ||
| 1744 | Event | 16 | 1048578 | ||
| 1744 | Event | 20 | 1048578 | ||
| 1744 | Event | 24 | 1048578 | ||
| 1744 | Event | 28 | 1048578 | ||
| 1744 | Event | 32 | 1048578 | ||
| 1744 | Event | 36 | 1048578 | ||
| 1744 | Event | 40 | 1048578 | ||
| 1744 | Event | 44 | 1048578 | ||
| 1744 | Event | 48 | 1048578 | ||
| 1744 | Event | 52 | 1048578 | ||
| 1744 | Event | 56 | 1048578 | ||
| 1744 | Event | 60 | 1048578 | ||
| 1744 | Mutant | 64 | 1048576 | ||
| 1744 | KnownDlls | Directory | 68 | 3 | |
| 1744 | \Device\HarddiskVolume2\Program Files\Nightly | File | 72 | 1048608 | |
| 1744 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 76 | 9 | |
| 1744 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 80 | 9 | |
| 1744 | ALPC Port | 84 | 2031617 | ||
| 1744 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 88 | 131097 | |
| 1744 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 92 | 1 | |
| 1744 | EtwRegistration | 96 | 2052 | ||
| 1744 | Event | 100 | 35586051 | ||
| 1744 | WinSta0 | WindowStation | 104 | 983935 | |
| 1744 | Default | Desktop | 108 | 983551 | |
| 1744 | WinSta0 | WindowStation | 112 | 983935 | |
| 1744 | TID 1992 PID 1744 | Thread | 116 | 2122 | |
| 1744 | EtwRegistration | 120 | 2052 | ||
| 1744 | Event | 124 | 2031619 | ||
| 1744 | Mutant | 128 | 2031617 | ||
| 1744 | Event | 132 | 2031619 | ||
| 1744 | Semaphore | 136 | 1048579 | ||
| 1744 | Semaphore | 140 | 1048579 | ||
| 1744 | Semaphore | 144 | 1048579 | ||
| 1744 | Semaphore | 148 | 1048579 | ||
| 1744 | Semaphore | 152 | 1048579 | ||
| 1744 | Semaphore | 156 | 1048579 | ||
| 1744 | EtwRegistration | 160 | 2052 | ||
| 1744 | EtwRegistration | 164 | 2052 | ||
| 1744 | EtwRegistration | 168 | 2052 | ||
| 1744 | EtwRegistration | 172 | 2052 | ||
| 1744 | EtwRegistration | 176 | 2052 | ||
| 1744 | EtwRegistration | 180 | 2052 | ||
| 1744 | EtwRegistration | 184 | 2052 | ||
| 1744 | EtwRegistration | 188 | 2052 | ||
| 1744 | Event | 192 | 2031619 | ||
| 1744 | Event | 196 | 2031619 | ||
| 1744 | Event | 200 | 2031619 | ||
| 1744 | Event | 204 | 2031619 | ||
| 1744 | Event | 208 | 2031619 | ||
| 1744 | Event | 212 | 2031619 | ||
| 1744 | EtwRegistration | 216 | 2052 | ||
| 1744 | BaseNamedObjects | Directory | 220 | 15 | |
| 1744 | EtwRegistration | 224 | 2052 | ||
| 1744 | EtwRegistration | 228 | 2052 | ||
| 1744 | EtwRegistration | 232 | 2052 | ||
| 1744 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 236 | 1179785 | |
| 1744 | Event | 240 | 2031619 | ||
| 1744 | Mutant | 244 | 2031617 | ||
| 1744 | Event | 248 | 2031619 | ||
| 1744 | Mutant | 252 | 2031617 | ||
| 1744 | Mutant | 256 | 2031617 | ||
| 1744 | Event | 260 | 2031619 | ||
| 1744 | Mutant | 264 | 2031617 | ||
| 1744 | Event | 268 | 2031619 | ||
| 1744 | Event | 272 | 2031619 | ||
| 1744 | Event | 276 | 2031619 | ||
| 1744 | Event | 280 | 2031619 | ||
| 1744 | Event | 284 | 2031619 | ||
| 1744 | EtwRegistration | 288 | 2052 | ||
| 1744 | EtwRegistration | 292 | 2052 | ||
| 1744 | Event | 296 | 2031619 | ||
| 1744 | TID 1736 PID 1744 | Thread | 300 | 2097151 | |
| 1744 | ALPC Port | 304 | 2031617 | ||
| 1744 | Mutant | 308 | 2031617 | ||
| 1744 | Mutant | 312 | 2031617 | ||
| 1744 | TID 1736 PID 1744 | Thread | 316 | 2097151 | |
| 1744 | Semaphore | 320 | 2031619 | ||
| 1744 | TID 1736 PID 1744 | Thread | 324 | 2097151 | |
| 1744 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 328 | 983103 | |
| 1744 | Event | 332 | 2031619 | ||
| 1744 | Event | 336 | 2031619 | ||
| 1744 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 340 | 983103 | |
| 1744 | EtwRegistration | 344 | 2052 | ||
| 1744 | EtwRegistration | 348 | 2052 | ||
| 1744 | TID 1736 PID 1744 | Thread | 352 | 2122 | |
| 1744 | firefox.exe(1016) | Process | 356 | 1053761 | |
| 1744 | Event | 360 | 2 | ||
| 1744 | Event | 364 | 1048578 | ||
| 1744 | Mutant | 368 | 1048576 | ||
| 1744 | Event | 372 | 2031619 | ||
| 1744 | Section | 376 | 983045 | ||
| 1744 | Section | 380 | 983045 | ||
| 1744 | Event | 384 | 2031619 | ||
| 1744 | Event | 388 | 2031619 | ||
| 1744 | TID 1852 PID 1744 | Thread | 392 | 2097151 | |
| 1744 | TID 1852 PID 1744 | Thread | 396 | 2097151 | |
| 1744 | Semaphore | 400 | 2031619 | ||
| 1744 | TID 1852 PID 1744 | Thread | 404 | 2122 | |
| 1744 | IoCompletion | 408 | 2031619 | ||
| 1744 | \Device\NamedPipe\chrome.1016.d811700.876709016 | File | 412 | 1180063 | |
| 1744 | Event | 416 | 2031619 | ||
| 1744 | Event | 420 | 2031619 | ||
| 1744 | \Device\KsecDD | File | 424 | 1048577 | |
| 1744 | ALPC Port | 428 | 2031617 | ||
| 1744 | Section | 432 | 4 | ||
| 1744 | __ComCatalogCache__ | Section | 436 | 4 | |
| 1744 | MaximumCommitCondition | Event | 440 | 1048577 | |
| 1744 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 444 | 983103 | |
| 1744 | __ComCatalogCache__ | Section | 448 | 4 | |
| 1744 | Event | 452 | 2031619 | ||
| 1744 | TID 1980 PID 1744 | Thread | 456 | 2097151 | |
| 1744 | TID 1736 PID 1744 | Thread | 460 | 2138 | |
| 1744 | TID 1856 PID 1744 | Thread | 464 | 2097151 | |
| 1744 | TID 1976 PID 1744 | Thread | 468 | 2097151 | |
| 1744 | TID 2004 PID 1744 | Thread | 472 | 2097151 | |
| 1744 | TID 1996 PID 1744 | Thread | 476 | 2097151 | |
| 1744 | TID 2000 PID 1744 | Thread | 480 | 2097151 | |
| 1744 | TID 1972 PID 1744 | Thread | 484 | 2097151 | |
| 1744 | Event | 488 | 2031619 | ||
| 1744 | \Device\Afd\Endpoint | File | 492 | 1442207 | |
| 1744 | \Device\Afd\AsyncConnectHlp | File | 496 | 34734495 | |
| 1744 | IoCompletion | 500 | 35586051 | ||
| 1744 | Semaphore | 508 | 2031619 | ||
| 1744 | Semaphore | 512 | 2031619 | ||
| 1744 | Semaphore | 516 | 2031619 | ||
| 1744 | Semaphore | 520 | 2031619 | ||
| 1744 | Semaphore | 524 | 2031619 | ||
| 1744 | Semaphore | 528 | 2031619 | ||
| 1744 | \Device\Afd\Endpoint | File | 532 | 1442207 | |
| 1744 | Semaphore | 536 | 2031619 | ||
| 1744 | TID 1960 PID 1744 | Thread | 540 | 2097151 | |
| 1744 | TID 1736 PID 1744 | Thread | 544 | 2122 | |
| 1744 | Event | 548 | 2031619 | ||
| 1744 | TID 1972 PID 1744 | Thread | 552 | 2097151 | |
| 1744 | Event | 556 | 2031619 | ||
| 1744 | Semaphore | 560 | 2031619 | ||
| 1744 | EtwRegistration | 564 | 2052 | ||
| 1744 | windows_shell_global_counters | Section | 568 | 6 | |
| 1744 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{B4BFCC3A-DB2C-424C-B029-7FE99A87C641}\PROPERTYBAG | Key | 572 | 131097 | |
| 1744 | EtwRegistration | 576 | 2052 | ||
| 1744 | \Device\NamedPipe\chrome.1016.1fd030.1061301691 | File | 580 | 1180063 | |
| 1744 | EtwRegistration | 584 | 2052 | ||
| 1744 | Event | 588 | 2031619 | ||
| 1744 | EtwRegistration | 592 | 2052 | ||
| 1744 | EtwRegistration | 596 | 2052 | ||
| 1744 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 600 | 1048608 | |
| 1744 | Semaphore | 604 | 1048579 | ||
| 1744 | Semaphore | 608 | 1048579 | ||
| 1744 | ALPC Port | 612 | 2031617 | ||
| 1744 | EtwRegistration | 616 | 2052 | ||
| 1744 | EtwRegistration | 620 | 2052 | ||
| 1744 | windows_shell_global_counters | Section | 624 | 6 | |
| 1744 | TID 960 PID 1744 | Thread | 628 | 2097151 | |
| 1744 | IoCompletion | 632 | 2031619 | ||
| 1744 | TpWorkerFactory | 636 | 983295 | ||
| 1744 | EtwRegistration | 640 | 2052 | ||
| 1744 | EtwRegistration | 644 | 2052 | ||
| 1744 | EtwRegistration | 648 | 2052 | ||
| 1744 | Event | 656 | 2031619 | ||
| 1744 | ALPC Port | 664 | 2031617 | ||
| 1744 | EtwRegistration | 668 | 2052 | ||
| 1744 | EtwRegistration | 672 | 2052 | ||
| 1744 | EtwRegistration | 676 | 2052 | ||
| 1744 | EtwRegistration | 680 | 2052 | ||
| 1744 | Event | 684 | 1048579 | ||
| 1744 | KeyedEvent | 688 | 983043 | ||
| 1744 | Timer | 692 | 1048578 | ||
| 1744 | Timer | 696 | 2031619 | ||
| 1744 | TID 2008 PID 1744 | Thread | 700 | 2097151 | |
| 1744 | TID 2008 PID 1744 | Thread | 704 | 2097151 | |
| 1744 | Semaphore | 708 | 2031619 | ||
| 1744 | TID 100 PID 1744 | Thread | 712 | 2097151 | |
| 1744 | Timer | 716 | 1048578 | ||
| 1744 | Event | 720 | 2031619 | ||
| 1744 | Event | 724 | 2031619 | ||
| 1744 | Event | 728 | 2031619 | ||
| 1744 | Event | 732 | 35586051 | ||
| 1744 | Event | 736 | 2031619 | ||
| 1744 | Event | 740 | 1048579 | ||
| 1744 | Section | 744 | 6 | ||
| 1744 | Event | 748 | 1048579 | ||
| 1744 | \Device\HarddiskVolume2\Windows\System32\en-US\wshtcpip.dll.mui | File | 752 | 1179785 | |
| 1744 | Event | 756 | 35586051 | ||
| 1744 | Event | 760 | 1048579 | ||
| 1744 | \Device\NamedPipe\chrome.1016.1fcf38.143326869 | File | 764 | 1180063 | |
| 1744 | Event | 768 | 2031619 | ||
| 1744 | firefox.exe(1016) | Process | 772 | 1053761 | |
| 1744 | Event | 776 | 1048579 | ||
| 1744 | EtwRegistration | 780 | 2052 | ||
| 1744 | Event | 784 | 2031619 | ||
| 1744 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\FONTSUBSTITUTES | Key | 788 | 131097 | |
| 1744 | EtwRegistration | 792 | 2052 | ||
| 1744 | Event | 796 | 2031619 | ||
| 1744 | Mutant | 800 | 2031617 | ||
| 1744 | TID 268 PID 1744 | Thread | 804 | 2097151 | |
| 1744 | Semaphore | 808 | 2031619 | ||
| 1744 | \Device\NamedPipe\chrome.1016.1fcf38.1454667999 | File | 812 | 1180063 | |
| 1744 | firefox.exe(1016) | Process | 816 | 1053761 | |
| 1744 | Event | 820 | 2031619 | ||
| 1744 | TID 1992 PID 1744 | Thread | 824 | 2097151 | |
| 1744 | Event | 828 | 2031619 | ||
| 1744 | TID 1992 PID 1744 | Thread | 832 | 2097151 | |
| 1744 | Semaphore | 836 | 2031619 | ||
| 1744 | TID 1992 PID 1744 | Thread | 840 | 2122 | |
| 1744 | Event | 844 | 2031619 | ||
| 1744 | Event | 848 | 1048579 | ||
| 1744 | Semaphore | 852 | 2031619 | ||
| 1744 | TID 960 PID 1744 | Thread | 856 | 2097151 | |
| 1744 | TID 960 PID 1744 | Thread | 860 | 2122 | |
| 1744 | Event | 864 | 2031619 | ||
| 1744 | TID 960 PID 1744 | Thread | 868 | 2122 | |
| 1744 | Event | 872 | 1048579 | ||
| 1744 | Event | 876 | 1048579 | ||
| 1744 | MACHINE | Key | 880 | 131097 | |
| 1744 | Mutant | 884 | 2031617 | ||
| 1744 | Event | 888 | 1048579 | ||
| 1744 | Event | 892 | 1048579 | ||
| 1744 | \Device\NamedPipe\chrome.1744.1cf598.4522864 | File | 896 | 1180063 | |
| 1744 | Event | 900 | 2031619 | ||
| 1744 | Mutant | 904 | 2031617 | ||
| 1744 | ALPC Port | 908 | 2031617 | ||
| 1744 | Event | 912 | 1048579 | ||
| 1744 | EtwRegistration | 916 | 2052 | ||
| 1744 | Event | 920 | 1048579 | ||
| 1744 | Event | 924 | 2031619 | ||
| 1744 | Event | 928 | 1048579 | ||
| 1744 | Section | 948 | 983047 | ||
| 1744 | Event | 952 | 35586051 | ||
| 1744 | Section | 956 | 983047 | ||
| 1744 | TID 1340 PID 1744 | Thread | 960 | 2097151 | |
| 1744 | Section | 964 | 983047 | ||
| 1744 | Semaphore | 968 | 2031619 | ||
| 1744 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 972 | 131097 | |
| 1744 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 976 | 131097 | |
| 1744 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 980 | 131097 | |
| 1744 | Event | 984 | 1048579 | ||
| 1744 | Event | 988 | 1048579 | ||
| 1744 | Event | 992 | 1048579 | ||
| 1744 | Event | 996 | 1048579 | ||
| 1744 | Event | 1000 | 1048579 | ||
| 1744 | TID 1352 PID 1744 | Thread | 1004 | 2097151 | |
| 1744 | Semaphore | 1008 | 2031619 | ||
| 1744 | Event | 1012 | 2031619 | ||
| 1744 | Event | 1016 | 35586051 | ||
| 1744 | Event | 1020 | 35586051 | ||
| 1744 | Event | 1024 | 1048579 | ||
| 1744 | Event | 1028 | 35586051 | ||
| 1744 | Event | 1032 | 1048579 | ||
| 1744 | Event | 1036 | 1048579 | ||
| 1744 | Event | 1040 | 1048579 | ||
| 1744 | Event | 1044 | 1048579 | ||
| 1744 | Event | 1048 | 1048579 | ||
| 1744 | Event | 1052 | 1048579 | ||
| 1744 | Event | 1056 | 1048579 | ||
| 1744 | Event | 1060 | 1048579 | ||
| 1744 | Event | 1064 | 1048579 | ||
| 1744 | Event | 1068 | 1048579 | ||
| 1744 | Event | 1072 | 1048579 | ||
| 1744 | Event | 1076 | 1048579 | ||
| 1744 | Event | 1080 | 1048579 | ||
| 1744 | Event | 1084 | 1048579 | ||
| 1744 | Event | 1088 | 1048579 | ||
| 1744 | Event | 1092 | 1048579 | ||
| 1744 | Event | 1096 | 1048579 | ||
| 1744 | Section | 1104 | 983047 | ||
| 1744 | Section | 1108 | 983047 | ||
| 1744 | MACHINE\SOFTWARE\MOZILLAPLUGINS | Key | 1112 | 131097 | |
| 1744 | Event | 1116 | 2031619 | ||
| 1744 | Section | 1128 | 983047 | ||
| 1744 | Event | 1140 | 1048579 | ||
| 3064 | KnownDlls | Directory | 4 | 3 | |
| 3064 | \Device\HarddiskVolume2\Program Files\Steam | File | 8 | 1048608 | |
| 3064 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 12 | 1048608 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 16 | 9 | |
| 3064 | ALPC Port | 20 | 2031617 | ||
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 24 | 9 | |
| 3064 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 28 | 131097 | |
| 3064 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 32 | 1 | |
| 3064 | EtwRegistration | 36 | 2052 | ||
| 3064 | Event | 40 | 35586051 | ||
| 3064 | WinSta0 | WindowStation | 44 | 983935 | |
| 3064 | Default | Desktop | 48 | 983551 | |
| 3064 | WinSta0 | WindowStation | 52 | 983935 | |
| 3064 | MACHINE | Key | 56 | 983103 | |
| 3064 | EtwRegistration | 60 | 2052 | ||
| 3064 | EtwRegistration | 64 | 2052 | ||
| 3064 | EtwRegistration | 68 | 2052 | ||
| 3064 | EtwRegistration | 72 | 2052 | ||
| 3064 | Event | 76 | 2031619 | ||
| 3064 | Mutant | 80 | 2031617 | ||
| 3064 | EtwRegistration | 84 | 2052 | ||
| 3064 | EtwRegistration | 88 | 2052 | ||
| 3064 | EtwRegistration | 92 | 2052 | ||
| 3064 | EtwRegistration | 96 | 2052 | ||
| 3064 | EtwRegistration | 100 | 2052 | ||
| 3064 | EtwRegistration | 104 | 2052 | ||
| 3064 | Event | 108 | 2031619 | ||
| 3064 | Event | 112 | 2031619 | ||
| 3064 | Event | 116 | 2031619 | ||
| 3064 | Event | 120 | 2031619 | ||
| 3064 | Event | 124 | 2031619 | ||
| 3064 | Event | 128 | 2031619 | ||
| 3064 | BaseNamedObjects | Directory | 132 | 15 | |
| 3064 | IoCompletion | 136 | 2031619 | ||
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 140 | 983103 | |
| 3064 | Event | 144 | 2031619 | ||
| 3064 | Event | 148 | 2031619 | ||
| 3064 | TID 3068 PID 3064 | Thread | 152 | 2097151 | |
| 3064 | Event | 156 | 2031619 | ||
| 3064 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 160 | 983103 | |
| 3064 | Event | 164 | 2031619 | ||
| 3064 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 168 | 983103 | |
| 3064 | Event | 172 | 2031619 | ||
| 3064 | \Device\HarddiskVolume2\Program Files\Steam\logs\bootstrap_log.txt | File | 176 | 1180054 | |
| 3064 | EtwRegistration | 180 | 2052 | ||
| 3064 | DBWinMutex | Mutant | 184 | 2031617 | |
| 3064 | Event | 188 | 2 | ||
| 3064 | Mutant | 192 | 1048576 | ||
| 3064 | Event | 196 | 1048578 | ||
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 200 | 8 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 204 | 8 | |
| 3064 | EtwRegistration | 208 | 2052 | ||
| 3064 | ALPC Port | 212 | 2031617 | ||
| 3064 | Section | 216 | 4 | ||
| 3064 | EtwRegistration | 220 | 2052 | ||
| 3064 | EtwRegistration | 224 | 2052 | ||
| 3064 | \Device\KsecDD | File | 228 | 1048577 | |
| 3064 | Event | 232 | 2031619 | ||
| 3064 | Event | 236 | 35586051 | ||
| 3064 | TID 3092 PID 3064 | Thread | 240 | 2097151 | |
| 3064 | EtwRegistration | 244 | 2052 | ||
| 3064 | Event | 248 | 2031619 | ||
| 3064 | EtwRegistration | 252 | 2052 | ||
| 3064 | EtwRegistration | 256 | 2052 | ||
| 3064 | EtwRegistration | 260 | 2052 | ||
| 3064 | EtwRegistration | 264 | 2052 | ||
| 3064 | EtwRegistration | 268 | 2052 | ||
| 3064 | EtwRegistration | 272 | 2052 | ||
| 3064 | EtwRegistration | 276 | 2052 | ||
| 3064 | EtwRegistration | 280 | 2052 | ||
| 3064 | EtwRegistration | 284 | 2052 | ||
| 3064 | IoCompletion | 288 | 2031619 | ||
| 3064 | EtwRegistration | 292 | 2052 | ||
| 3064 | EtwRegistration | 296 | 2052 | ||
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 300 | 1179785 | |
| 3064 | Event | 304 | 2031619 | ||
| 3064 | Mutant | 308 | 2031617 | ||
| 3064 | Event | 312 | 2031619 | ||
| 3064 | Mutant | 316 | 2031617 | ||
| 3064 | Mutant | 320 | 2031617 | ||
| 3064 | Valve_SteamIPC_Class | Event | 324 | 2031619 | |
| 3064 | IoCompletion | 328 | 2031619 | ||
| 3064 | Event | 332 | 2031619 | ||
| 3064 | Event | 336 | 2031619 | ||
| 3064 | windows_shell_global_counters | Section | 340 | 6 | |
| 3064 | steamwebhelper(3108) | Process | 344 | 2097151 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER | Key | 348 | 1 | |
| 3064 | ALPC Port | 352 | 2031617 | ||
| 3064 | ALPC Port | 356 | 2031617 | ||
| 3064 | TID 3116 PID 3064 | Thread | 360 | 2097151 | |
| 3064 | SteamInstanceGlobal | Mutant | 364 | 2031617 | |
| 3064 | Semaphore | 368 | 1048579 | ||
| 3064 | Semaphore | 372 | 1048579 | ||
| 3064 | Event | 376 | 2031619 | ||
| 3064 | IoCompletion | 380 | 2031619 | ||
| 3064 | Event | 384 | 2031619 | ||
| 3064 | Event | 388 | 2031619 | ||
| 3064 | Event | 392 | 2031619 | ||
| 3064 | Steam3Master_SharedMemFile | Section | 396 | 983047 | |
| 3064 | Steam3Master_SharedMemLock | Event | 400 | 2031619 | |
| 3064 | \Device\NamedPipe\ | File | 404 | 1179785 | |
| 3064 | \Device\NamedPipe | File | 408 | 1180041 | |
| 3064 | \Device\NamedPipe | File | 412 | 1180054 | |
| 3064 | \Device\NamedPipe | File | 416 | 1180041 | |
| 3064 | \Device\NamedPipe | File | 420 | 1180054 | |
| 3064 | \Device\Nsi | File | 424 | 1048704 | |
| 3064 | EtwRegistration | 428 | 2052 | ||
| 3064 | Event | 432 | 2031619 | ||
| 3064 | Event | 436 | 2031619 | ||
| 3064 | Event | 440 | 2031619 | ||
| 3064 | TID 3128 PID 3064 | Thread | 444 | 2097151 | |
| 3064 | Event | 448 | 2031619 | ||
| 3064 | Event | 452 | 2031619 | ||
| 3064 | Event | 456 | 2031619 | ||
| 3064 | Event | 460 | 2031619 | ||
| 3064 | Event | 464 | 2031619 | ||
| 3064 | Event | 468 | 2031619 | ||
| 3064 | TID 3184 PID 3064 | Thread | 472 | 2097151 | |
| 3064 | Event | 476 | 35586051 | ||
| 3064 | \Device\HarddiskVolume2\Program Files\Steam\logs\content_log.txt | File | 480 | 1180054 | |
| 3064 | Event | 484 | 2031619 | ||
| 3064 | EtwRegistration | 488 | 2052 | ||
| 3064 | TID 3152 PID 3064 | Thread | 492 | 2097151 | |
| 3064 | \Device\HarddiskVolume2\Program Files\Steam\logs\parental_log.txt | File | 496 | 1180054 | |
| 3064 | Event | 500 | 2031619 | ||
| 3064 | Event | 504 | 2031619 | ||
| 3064 | __ComCatalogCache__ | Section | 508 | 4 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 512 | 983103 | |
| 3064 | MaximumCommitCondition | Event | 516 | 1048577 | |
| 3064 | __ComCatalogCache__ | Section | 520 | 4 | |
| 3064 | Mutant | 524 | 2031617 | ||
| 3064 | EtwRegistration | 528 | 2052 | ||
| 3064 | EtwRegistration | 532 | 2052 | ||
| 3064 | EtwRegistration | 536 | 2052 | ||
| 3064 | EtwRegistration | 540 | 2052 | ||
| 3064 | Event | 544 | 2031619 | ||
| 3064 | SteamChrome_ClientStream_3064_42008576_client_mutex-IPCWrapper | Mutant | 552 | 2031617 | |
| 3064 | Event | 556 | 2031619 | ||
| 3064 | Event | 560 | 2031619 | ||
| 3064 | Event | 564 | 2031619 | ||
| 3064 | EtwRegistration | 568 | 2052 | ||
| 3064 | EtwRegistration | 572 | 2052 | ||
| 3064 | SteamChrome_ClientStream_3064_42008576_client_written-IPCWrapper | Event | 576 | 2031619 | |
| 3064 | SteamChrome_ClientStream_3064_42008576_client_avail-IPCWrapper | Event | 580 | 2031619 | |
| 3064 | Event | 584 | 2031619 | ||
| 3064 | KeyedEvent | 588 | 983043 | ||
| 3064 | IoCompletion | 592 | 2031619 | ||
| 3064 | TpWorkerFactory | 596 | 983295 | ||
| 3064 | Timer | 600 | 1048578 | ||
| 3064 | Timer | 604 | 2031619 | ||
| 3064 | TID 3192 PID 3064 | Thread | 608 | 2097151 | |
| 3064 | TID 3192 PID 3064 | Thread | 612 | 2097151 | |
| 3064 | EtwRegistration | 616 | 2052 | ||
| 3064 | EtwRegistration | 620 | 2052 | ||
| 3064 | EtwRegistration | 624 | 2052 | ||
| 3064 | EtwRegistration | 628 | 2052 | ||
| 3064 | EtwRegistration | 632 | 2052 | ||
| 3064 | Event | 636 | 2031619 | ||
| 3064 | Event | 640 | 2031619 | ||
| 3064 | Steam_{E9FD3C51-9B58-4DA0-962C-734882B19273}_Pid:00000BF8 | Section | 644 | 983047 | |
| 3064 | Event | 648 | 1048579 | ||
| 3064 | Timer | 652 | 1048578 | ||
| 3064 | ALPC Port | 656 | 2031617 | ||
| 3064 | Event | 660 | 2031619 | ||
| 3064 | TID 3212 PID 3064 | Thread | 664 | 2097151 | |
| 3064 | IoCompletion | 668 | 2031619 | ||
| 3064 | Event | 672 | 2031619 | ||
| 3064 | EtwRegistration | 676 | 2052 | ||
| 3064 | EtwRegistration | 680 | 2052 | ||
| 3064 | Semaphore | 684 | 2031619 | ||
| 3064 | Event | 688 | 2031619 | ||
| 3064 | Event | 692 | 2031619 | ||
| 3064 | OLE943511FF20BB4BD2912735980750 | ALPC Port | 696 | 2031617 | |
| 3064 | Event | 700 | 2031619 | ||
| 3064 | EtwConsumer | 704 | 1024 | ||
| 3064 | TID 1748 PID 3064 | Thread | 708 | 2097151 | |
| 3064 | Event | 712 | 2031619 | ||
| 3064 | SteamClientService_3064_SharedMemFile | Section | 716 | 983047 | |
| 3064 | Event | 720 | 2031619 | ||
| 3064 | SteamClientService_3064_SharedMemLock | Event | 724 | 2031619 | |
| 3064 | \Device\NamedPipe | File | 728 | 1180041 | |
| 3064 | \Device\NamedPipe | File | 732 | 1180054 | |
| 3064 | \Device\NamedPipe | File | 736 | 1180041 | |
| 3064 | \Device\NamedPipe | File | 740 | 1180054 | |
| 3064 | Semaphore | 744 | 2031619 | ||
| 3064 | TID 3224 PID 3064 | Thread | 748 | 2097151 | |
| 3064 | EtwRegistration | 752 | 2052 | ||
| 3064 | Event | 756 | 2031619 | ||
| 3064 | TID 3236 PID 3064 | Thread | 760 | 2097151 | |
| 3064 | \Device\HarddiskVolume2\Program Files\Steam\logs\connection_log.txt | File | 764 | 1180054 | |
| 3064 | Event | 768 | 2031619 | ||
| 3064 | TID 3128 PID 3064 | Thread | 772 | 2097151 | |
| 3064 | TID 3252 PID 3064 | Thread | 776 | 2097151 | |
| 3064 | mmGlobalPnpInfo | Section | 780 | 4 | |
| 3064 | EtwRegistration | 784 | 2052 | ||
| 3064 | EtwRegistration | 788 | 2052 | ||
| 3064 | EtwRegistration | 792 | 2052 | ||
| 3064 | EtwRegistration | 796 | 2052 | ||
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\DRIVERS32 | Key | 800 | 1 | |
| 3064 | EtwRegistration | 804 | 2052 | ||
| 3064 | Event | 808 | 35586051 | ||
| 3064 | DINPUTWINMM | Event | 812 | 1048576 | |
| 3064 | ALPC Port | 816 | 2031617 | ||
| 3064 | Event | 820 | 2031619 | ||
| 3064 | Event | 824 | 2031619 | ||
| 3064 | Mutant | 828 | 2031617 | ||
| 3064 | Event | 832 | 2031619 | ||
| 3064 | Mutant | 836 | 2031617 | ||
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\wdmaud.drv.mui | File | 840 | 1179785 | |
| 3064 | Event | 844 | 2031619 | ||
| 3064 | Mutant | 848 | 2031617 | ||
| 3064 | ALPC Port | 852 | 2031617 | ||
| 3064 | Event | 856 | 35586051 | ||
| 3064 | ALPC Port | 864 | 2031617 | ||
| 3064 | Event | 868 | 2031619 | ||
| 3064 | Event | 872 | 2031619 | ||
| 3064 | STEAM_DIPC_CONSUME | Semaphore | 876 | 2031619 | |
| 3064 | SREAM_DIPC_PRODUCE | Semaphore | 880 | 2031619 | |
| 3064 | STEAM_DRM_IPC | Section | 884 | 983047 | |
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\MMDevAPI.dll.mui | File | 888 | 1179785 | |
| 3064 | EtwRegistration | 892 | 2052 | ||
| 3064 | EtwRegistration | 896 | 2052 | ||
| 3064 | EtwRegistration | 900 | 2052 | ||
| 3064 | ALPC Port | 904 | 2031617 | ||
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\winmm.dll.mui | File | 908 | 1179785 | |
| 3064 | SteamChrome_ClientStream_3064_42008576_client_mem-IPCWrapper | Section | 916 | 983047 | |
| 3064 | EtwRegistration | 920 | 2052 | ||
| 3064 | EtwRegistration | 924 | 2052 | ||
| 3064 | Event | 928 | 2031619 | ||
| 3064 | Event | 932 | 2031619 | ||
| 3064 | Mutant | 936 | 2031617 | ||
| 3064 | MidiMapper_modLongMessage_RefCnt | Mutant | 940 | 2031617 | |
| 3064 | Mutant | 944 | 2031617 | ||
| 3064 | EtwRegistration | 948 | 2052 | ||
| 3064 | Mutant | 952 | 2031617 | ||
| 3064 | Mutant | 956 | 2031617 | ||
| 3064 | {0b3F1461-5E00-4E99-A5AE-CEFDB55A002D-3DEDf83C} | Section | 960 | 983047 | |
| 3064 | steam_singleton_mutext_00000000_00000bf8 | Mutant | 964 | 2031617 | |
| 3064 | Event | 968 | 2031619 | ||
| 3064 | TID 3348 PID 3064 | Thread | 972 | 2097151 | |
| 3064 | SteamXInput_steamcontroller_mutex-IPCWrapper | Mutant | 976 | 2031617 | |
| 3064 | SteamController_Master_Command_written-IPCWrapper | Event | 980 | 2031619 | |
| 3064 | Event | 984 | 2031619 | ||
| 3064 | Event | 988 | 2031619 | ||
| 3064 | EtwRegistration | 992 | 2052 | ||
| 3064 | SteamController_Master_mem-IPCWrapper | Section | 996 | 983047 | |
| 3064 | SteamController_Master_Command_mutex-IPCWrapper | Mutant | 1000 | 2031617 | |
| 3064 | TID 3352 PID 3064 | Thread | 1004 | 2097151 | |
| 3064 | Event | 1008 | 35586051 | ||
| 3064 | SteamController_Master_Command_mem-IPCWrapper | Section | 1012 | 983047 | |
| 3064 | TID 3352 PID 3064 | Thread | 1016 | 2097151 | |
| 3064 | EtwRegistration | 1020 | 2052 | ||
| 3064 | Event | 1024 | 2031619 | ||
| 3064 | SteamXInput_steamcontroller_mem-IPCWrapper | Section | 1028 | 983047 | |
| 3064 | {f8DEDF05-86E9-0017-9E36-1D9400334DFA-A30b4421} | Section | 1032 | 983047 | |
| 3064 | Event | 1036 | 2031619 | ||
| 3064 | SteamController_Master_Command_avail-IPCWrapper | Event | 1040 | 2031619 | |
| 3064 | EtwRegistration | 1044 | 2052 | ||
| 3064 | EtwRegistration | 1048 | 2052 | ||
| 3064 | EtwRegistration | 1052 | 2052 | ||
| 3064 | EtwRegistration | 1056 | 2052 | ||
| 3064 | Mutant | 1060 | 2031617 | ||
| 3064 | Event | 1064 | 2031619 | ||
| 3064 | Mutant | 1068 | 2031617 | ||
| 3064 | Event | 1072 | 2031619 | ||
| 3064 | GameOverlayRender_PIDStream_mutex-IPCWrapper | Mutant | 1076 | 2031617 | |
| 3064 | GameOverlayRender_PIDStream_written-IPCWrapper | Event | 1080 | 2031619 | |
| 3064 | GameOverlayRender_PIDStream_avail-IPCWrapper | Event | 1084 | 2031619 | |
| 3064 | GameOverlayRender_PIDStream_mem-IPCWrapper | Section | 1088 | 983047 | |
| 3064 | \Device\HarddiskVolume2\Program Files\Steam\logs\cloud_log.txt | File | 1092 | 1180054 | |
| 3064 | TID 3384 PID 3064 | Thread | 1096 | 2097151 | |
| 3064 | EtwRegistration | 1100 | 2052 | ||
| 3064 | SteamChrome_ClientStream_3064_42008576_server_mutex-IPCWrapper | Mutant | 1104 | 2031617 | |
| 3064 | SteamChrome_ClientStream_3064_42008576_server_written-IPCWrapper | Event | 1108 | 2031619 | |
| 3064 | SteamChrome_ClientStream_3064_42008576_server_avail-IPCWrapper | Event | 1112 | 2031619 | |
| 3064 | SteamChrome_ClientStream_3064_42008576_server_mem-IPCWrapper | Section | 1116 | 983047 | |
| 3064 | SteamChrome_MasterStream_Event_spid3064-IPCWrapper | Event | 1120 | 2031619 | |
| 3064 | Event | 1124 | 2031619 | ||
| 3064 | EtwRegistration | 1128 | 2052 | ||
| 3064 | TID 3420 PID 3064 | Thread | 1132 | 2097151 | |
| 3064 | TID 3420 PID 3064 | Thread | 1136 | 2097151 | |
| 3064 | TID 3128 PID 3064 | Thread | 1140 | 2097151 | |
| 3064 | Event | 1144 | 2031619 | ||
| 3064 | \Device\Afd\Endpoint | File | 1148 | 1442207 | |
| 3064 | EtwRegistration | 1152 | 2052 | ||
| 3064 | Event | 1156 | 2031619 | ||
| 3064 | EtwRegistration | 1160 | 2052 | ||
| 3064 | EtwRegistration | 1164 | 2052 | ||
| 3064 | Event | 1168 | 2031619 | ||
| 3064 | EtwRegistration | 1172 | 2052 | ||
| 3064 | EtwRegistration | 1176 | 2052 | ||
| 3064 | EtwRegistration | 1180 | 2052 | ||
| 3064 | Event | 1184 | 2031619 | ||
| 3064 | TID 3420 PID 3064 | Thread | 1188 | 2097151 | |
| 3064 | Event | 1192 | 2031619 | ||
| 3064 | Event | 1196 | 2031619 | ||
| 3064 | Event | 1200 | 2031619 | ||
| 3064 | EtwRegistration | 1204 | 2052 | ||
| 3064 | EtwRegistration | 1208 | 2052 | ||
| 3064 | Semaphore | 1212 | 2031619 | ||
| 3064 | \Device\HarddiskVolume2\Program Files\Steam\logs\appinfo_log.txt | File | 1216 | 1180054 | |
| 3064 | EtwRegistration | 1220 | 2052 | ||
| 3064 | EtwRegistration | 1224 | 2052 | ||
| 3064 | USER | Key | 1228 | 983103 | |
| 3064 | Event | 1232 | 2031619 | ||
| 3064 | Event | 1236 | 2031619 | ||
| 3064 | EtwRegistration | 1240 | 2052 | ||
| 3064 | EtwRegistration | 1244 | 2052 | ||
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 1248 | 1179785 | |
| 3064 | EtwRegistration | 1252 | 2052 | ||
| 3064 | EtwRegistration | 1256 | 2052 | ||
| 3064 | EtwRegistration | 1260 | 2052 | ||
| 3064 | EtwRegistration | 1264 | 2052 | ||
| 3064 | Semaphore | 1268 | 1048579 | ||
| 3064 | Semaphore | 1272 | 1048579 | ||
| 3064 | EtwRegistration | 1276 | 2052 | ||
| 3064 | EtwRegistration | 1280 | 2052 | ||
| 3064 | EtwRegistration | 1284 | 2052 | ||
| 3064 | EtwRegistration | 1288 | 2052 | ||
| 3064 | EtwRegistration | 1292 | 2052 | ||
| 3064 | Event | 1296 | 2031619 | ||
| 3064 | Event | 1300 | 2031619 | ||
| 3064 | EtwRegistration | 1304 | 2052 | ||
| 3064 | ALPC Port | 1308 | 2031617 | ||
| 3064 | TID 3504 PID 3064 | Thread | 1312 | 2097151 | |
| 3064 | TID 3504 PID 3064 | Thread | 1320 | 2097151 | |
| 3064 | TID 3384 PID 3064 | Thread | 1324 | 2097151 | |
| 3064 | TID 3436 PID 3064 | Thread | 1328 | 2097151 | |
| 3064 | Event | 1332 | 2031619 | ||
| 3064 | Event | 1336 | 2031619 | ||
| 3064 | Event | 1340 | 2031619 | ||
| 3064 | Event | 1344 | 2031619 | ||
| 3064 | Event | 1348 | 2031619 | ||
| 3064 | TID 3440 PID 3064 | Thread | 1352 | 2097151 | |
| 3064 | Event | 1356 | 35586051 | ||
| 3064 | TID 3464 PID 3064 | Thread | 1360 | 2097151 | |
| 3064 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 1364 | 1048608 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 1368 | 983103 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{905E63B6-C1BF-494E-B29C-65B732D3D21A}\PROPERTYBAG | Key | 1372 | 131097 | |
| 3064 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 1376 | 1048608 | |
| 3064 | EtwRegistration | 1380 | 2052 | ||
| 3064 | Event | 1384 | 2031619 | ||
| 3064 | Semaphore | 1388 | 1048579 | ||
| 3064 | Semaphore | 1392 | 1048579 | ||
| 3064 | Semaphore | 1396 | 1048579 | ||
| 3064 | Semaphore | 1400 | 1048579 | ||
| 3064 | Semaphore | 1404 | 1048579 | ||
| 3064 | Semaphore | 1408 | 1048579 | ||
| 3064 | Semaphore | 1412 | 1048579 | ||
| 3064 | Semaphore | 1416 | 1048579 | ||
| 3064 | windows_shell_global_counters | Section | 1420 | 6 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS | Key | 1424 | 131097 | |
| 3064 | C:*ProgramData*Microsoft*Windows*Caches*{6AF0698E-D558-4F6E-9B3C-3716689AF493}.2.ver0x0000000000000003.db | Section | 1428 | 4 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{F38BF404-1D43-42F2-9305-67DE0B28FC23}\PROPERTYBAG | Key | 1432 | 131097 | |
| 3064 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 1436 | 4 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\PROPERTYBAG | Key | 1440 | 131097 | |
| 3064 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 1444 | 4 | |
| 3064 | C:*ProgramData*Microsoft*Windows*Caches*{DDF571F2-BE98-426D-8288-1A9A39C3FDA2}.2.ver0x0000000000000001.db | Section | 1448 | 4 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{B4BFCC3A-DB2C-424C-B029-7FE99A87C641}\PROPERTYBAG | Key | 1452 | 131097 | |
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\shell32.dll.mui | File | 1456 | 1179785 | |
| 3064 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca | File | 1460 | 1048608 | |
| 3064 | EtwRegistration | 1464 | 2052 | ||
| 3064 | EtwRegistration | 1468 | 2052 | ||
| 3064 | EtwRegistration | 1472 | 2052 | ||
| 3064 | EtwRegistration | 1476 | 2052 | ||
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{D65231B0-B2F1-4857-A4CE-A8E7C6EA7D27}\PROPERTYBAG | Key | 1480 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{1AC14E77-02E7-4E5D-B744-2EB1AE5198B7}\PROPERTYBAG | Key | 1484 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{2400183A-6185-49FB-A2D8-4A392A602BA3}\PROPERTYBAG | Key | 1488 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{3214FAB5-9757-4298-BB61-92A9DEAA44FF}\PROPERTYBAG | Key | 1492 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{ED4824AF-DCE4-45A8-81E2-FC7965083634}\PROPERTYBAG | Key | 1496 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{18989B1D-99B5-455B-841C-AB7C74E4DDFC}\PROPERTYBAG | Key | 1500 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{4BD8D571-6D19-48D3-BE97-422220080E43}\PROPERTYBAG | Key | 1504 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{33E28130-4E1E-4676-835A-98395C3BC3BB}\PROPERTYBAG | Key | 1508 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{B6EBFB86-6907-413C-9AF7-4FC2ABF07CC5}\PROPERTYBAG | Key | 1512 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{FDD39AD0-238F-46AF-ADB4-6C85480369C7}\PROPERTYBAG | Key | 1516 | 131097 | |
| 3064 | Event | 1520 | 2031619 | ||
| 3064 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FOLDERDESCRIPTIONS\{56784854-C6CB-462B-8169-88E350ACB882}\PROPERTYBAG | Key | 1524 | 131097 | |
| 3064 | Mutant | 1528 | 2031617 | ||
| 3064 | Event | 1544 | 2031619 | ||
| 3064 | IoCompletion | 1548 | 35586051 | ||
| 3064 | \Device\Afd\AsyncConnectHlp | File | 1560 | 34734495 | |
| 3064 | Event | 1564 | 2031619 | ||
| 3064 | \Device\HarddiskVolume2\Program Files\Steam\music\_database\musicdatabase_0013.db | File | 1568 | 1180063 | |
| 3064 | TID 3504 PID 3064 | Thread | 1572 | 2097151 | |
| 3064 | Event | 1576 | 2031619 | ||
| 3064 | TID 3788 PID 3064 | Thread | 1588 | 2097151 | |
| 3064 | SteamXInput_steamcontroller_mem-IPCWrapper | Section | 1592 | 983047 | |
| 3064 | TID 3544 PID 3064 | Thread | 1596 | 2097151 | |
| 3064 | SteamXInput_steamcontroller_mutex-IPCWrapper | Mutant | 1600 | 2031617 | |
| 3064 | SteamXInput_steamcontroller_mem-IPCWrapper | Section | 1604 | 983047 | |
| 3064 | SteamXInput_steamcontroller_mutex-IPCWrapper | Mutant | 1608 | 2031617 | |
| 3064 | Event | 1612 | 1048579 | ||
| 3064 | Event | 1616 | 2031619 | ||
| 3064 | Event | 1620 | 2031619 | ||
| 3064 | Mutant | 1624 | 2031617 | ||
| 3064 | Event | 1628 | 2031619 | ||
| 3064 | Event | 1632 | 2031619 | ||
| 3064 | Event | 1636 | 2031619 | ||
| 3064 | TID 3068 PID 3064 | Thread | 1640 | 2097151 | |
| 3064 | \Device\VBoxGuest | File | 1644 | 1180063 | |
| 3064 | TID 3548 PID 3064 | Thread | 1648 | 2097151 | |
| 3064 | TID 3548 PID 3064 | Thread | 1652 | 2097151 | |
| 3064 | Event | 1656 | 2031619 | ||
| 3064 | Event | 1660 | 2031619 | ||
| 3064 | TID 3548 PID 3064 | Thread | 1664 | 2097151 | |
| 3064 | TID 3592 PID 3064 | Thread | 1668 | 2097151 | |
| 3064 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE | Key | 1672 | 131097 | |
| 3064 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LOCALE\ALTERNATE SORTS | Key | 1676 | 131097 | |
| 3064 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\LANGUAGE GROUPS | Key | 1680 | 131097 | |
| 3064 | Event | 1684 | 2031619 | ||
| 3064 | Event | 1688 | 2031619 | ||
| 3064 | Event | 1692 | 2031619 | ||
| 3064 | Event | 1696 | 2031619 | ||
| 3064 | Event | 1700 | 2031619 | ||
| 3064 | Event | 1704 | 35586051 | ||
| 3064 | Event | 1708 | 2031619 | ||
| 3064 | Event | 1716 | 2031619 | ||
| 3064 | Event | 1720 | 35586051 | ||
| 3064 | Event | 1724 | 2031619 | ||
| 3064 | Event | 1728 | 2031619 | ||
| 3064 | Event | 1732 | 2031619 | ||
| 3064 | Event | 1736 | 2031619 | ||
| 3064 | Event | 1740 | 2031619 | ||
| 3064 | Event | 1744 | 2031619 | ||
| 3064 | Event | 1748 | 2031619 | ||
| 3064 | TID 3596 PID 3064 | Thread | 1752 | 2097151 | |
| 3064 | SteamXInput_gamestream_mutex-IPCWrapper | Mutant | 1756 | 2031617 | |
| 3064 | SteamXInput_gamestream_mem-IPCWrapper | Section | 1760 | 983047 | |
| 3064 | Event | 1764 | 2031619 | ||
| 3064 | Event | 1768 | 2031619 | ||
| 3064 | Event | 1772 | 2031619 | ||
| 3064 | TID 3224 PID 3064 | Thread | 1776 | 2097151 | |
| 3064 | Event | 1780 | 2031619 | ||
| 3064 | Event | 1784 | 2031619 | ||
| 3064 | Event | 1788 | 2031619 | ||
| 3064 | \Device\HarddiskVolume2\Program Files\Steam\logs\remote_connections.txt | File | 1792 | 1180054 | |
| 3064 | \Device\NamedPipe | File | 1796 | 1179926 | |
| 3064 | \Device\Afd\Endpoint | File | 1800 | 1442207 | |
| 3064 | TID 3608 PID 3064 | Thread | 1804 | 2097151 | |
| 3064 | \Device\NamedPipe | File | 1808 | 1179785 | |
| 3064 | \Device\Afd\Endpoint | File | 1812 | 1442207 | |
| 3064 | Event | 1816 | 2031619 | ||
| 3064 | \Device\NamedPipe | File | 1820 | 1180041 | |
| 3064 | \Device\NamedPipe | File | 1824 | 1180054 | |
| 3064 | \Device\NamedPipe | File | 1828 | 1180041 | |
| 3064 | \Device\NamedPipe | File | 1832 | 1180054 | |
| 3064 | Event | 1836 | 2031619 | ||
| 3064 | \Device\NamedPipe | File | 1840 | 1179785 | |
| 3064 | \Device\NamedPipe | File | 1844 | 1179926 | |
| 3064 | TID 3608 PID 3064 | Thread | 1848 | 2097151 | |
| 3064 | Event | 1852 | 2031619 | ||
| 3064 | EtwRegistration | 1856 | 2052 | ||
| 3064 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\CRYPT32 | Key | 1860 | 131097 | |
| 3064 | Event | 1864 | 2031619 | ||
| 3064 | IoCompletion | 1868 | 2031619 | ||
| 3064 | TpWorkerFactory | 1872 | 983295 | ||
| 3064 | MACHINE\SOFTWARE\MICROSOFT\CRYPTOGRAPHY\OID\ENCODINGTYPE 0\CERTDLLCREATECERTIFICATECHAINENGINE\CONFIG | Key | 1876 | 131097 | |
| 3064 | Event | 1880 | 2031619 | ||
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\MY | Key | 1884 | 131097 | |
| 3064 | Event | 1888 | 2031619 | ||
| 3064 | Event | 1892 | 2031619 | ||
| 3064 | DirectInput.{89521361-AA8A-11CF-BFC7-444553540000} | Mutant | 1896 | 2031617 | |
| 3064 | DirectInput.{5944E681-C92E-11CF-BFC7-444553540000} | Section | 1900 | 983047 | |
| 3064 | DirectInput.{5944E682-C92E-11CF-BFC7-444553540000} | Mutant | 1904 | 2031617 | |
| 3064 | Semaphore | 1908 | 2031619 | ||
| 3064 | Semaphore | 1912 | 2031619 | ||
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\dinput8.dll.mui | File | 1916 | 1179785 | |
| 3064 | ALPC Port | 1920 | 2031617 | ||
| 3064 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT | Key | 1924 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA | Key | 1928 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 1932 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\CA | Key | 1936 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\CA | Key | 1940 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED | Key | 1944 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 1948 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED | Key | 1952 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\DISALLOWED | Key | 1956 | 131097 | |
| 3064 | Event | 1960 | 2031619 | ||
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT | Key | 1964 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\AUTHROOT | Key | 1968 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\ROOT | Key | 1972 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\SMARTCARDROOT | Key | 1976 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDPEOPLE | Key | 1980 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\SMARTCARDROOT | Key | 1984 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 1988 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUSTEDPEOPLE | Key | 1992 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\TRUSTEDPEOPLE | Key | 1996 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUST | Key | 2000 | 131097 | |
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 2004 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\TRUST | Key | 2008 | 131097 | |
| 3064 | MACHINE\SOFTWARE\MICROSOFT\ENTERPRISECERTIFICATES\TRUST | Key | 2012 | 131097 | |
| 3064 | Event | 2016 | 2031619 | ||
| 3064 | Event | 2020 | 2031619 | ||
| 3064 | Event | 2024 | 2031619 | ||
| 3064 | Event | 2028 | 2031619 | ||
| 3064 | Event | 2032 | 2031619 | ||
| 3064 | Event | 2036 | 2031619 | ||
| 3064 | Event | 2040 | 2031619 | ||
| 3064 | Event | 2044 | 2031619 | ||
| 3064 | Event | 2052 | 2031619 | ||
| 3064 | Event | 2056 | 2031619 | ||
| 3064 | Event | 2060 | 2031619 | ||
| 3064 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES | Key | 2064 | 131097 | |
| 3064 | Event | 2068 | 2031619 | ||
| 3064 | Event | 2072 | 2031619 | ||
| 3064 | Event | 2076 | 2031619 | ||
| 3064 | Event | 2080 | 2031619 | ||
| 3064 | Event | 2084 | 2031619 | ||
| 3064 | Event | 2088 | 2031619 | ||
| 3064 | Event | 2092 | 2031619 | ||
| 3064 | Event | 2096 | 2031619 | ||
| 3064 | Event | 2100 | 2031619 | ||
| 3064 | Event | 2104 | 2031619 | ||
| 3064 | Event | 2108 | 2031619 | ||
| 3064 | Event | 2112 | 2031619 | ||
| 3064 | Event | 2116 | 2031619 | ||
| 3064 | Event | 2120 | 2031619 | ||
| 3064 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\POLICIES\MICROSOFT\SYSTEMCERTIFICATES | Key | 2124 | 131097 | |
| 3064 | Event | 2128 | 2031619 | ||
| 3064 | Event | 2132 | 2031619 | ||
| 3064 | Event | 2136 | 2031619 | ||
| 3064 | Event | 2140 | 2031619 | ||
| 3064 | Event | 2144 | 2031619 | ||
| 3064 | Event | 2148 | 2031619 | ||
| 3064 | Event | 2152 | 2031619 | ||
| 3064 | Event | 2156 | 2031619 | ||
| 3064 | Event | 2160 | 2031619 | ||
| 3064 | Event | 2164 | 2031619 | ||
| 3064 | Event | 2168 | 2031619 | ||
| 3064 | Event | 2172 | 2031619 | ||
| 3064 | Event | 2176 | 2031619 | ||
| 3064 | \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\SystemCertificates\My | File | 2180 | 1048577 | |
| 3064 | Event | 2184 | 2031619 | ||
| 3064 | Event | 2188 | 2031619 | ||
| 3064 | Event | 2192 | 2031619 | ||
| 3064 | Event | 2196 | 2031619 | ||
| 3064 | Event | 2200 | 2031619 | ||
| 3064 | Event | 2204 | 2031619 | ||
| 3064 | Event | 2208 | 2031619 | ||
| 3064 | Event | 2212 | 2031619 | ||
| 3064 | Event | 2216 | 2031619 | ||
| 3064 | Event | 2220 | 2031619 | ||
| 3064 | Event | 2224 | 2031619 | ||
| 3064 | Event | 2228 | 2031619 | ||
| 3064 | Event | 2232 | 2031619 | ||
| 3064 | Event | 2236 | 2031619 | ||
| 3064 | Event | 2240 | 2031619 | ||
| 3064 | Event | 2244 | 2031619 | ||
| 3064 | Event | 2248 | 2031619 | ||
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\crypt32.dll.mui | File | 2252 | 1179785 | |
| 3064 | ALPC Port | 2256 | 2031617 | ||
| 3064 | Semaphore | 2264 | 1048579 | ||
| 3064 | Semaphore | 2268 | 1048579 | ||
| 3064 | Event | 2272 | 2031619 | ||
| 3064 | TID 3700 PID 3064 | Thread | 2276 | 2097151 | |
| 3064 | Semaphore | 2280 | 1048579 | ||
| 3064 | \Device\HarddiskVolume2\Windows\System32\en-US\winhttp.dll.mui | File | 2284 | 1179785 | |
| 3064 | Semaphore | 2288 | 1048579 | ||
| 3064 | Event | 2292 | 2031619 | ||
| 3064 | Event | 2296 | 2031619 | ||
| 3064 | TID 3632 PID 3064 | Thread | 2300 | 2097151 | |
| 3064 | TID 3636 PID 3064 | Thread | 2304 | 2097151 | |
| 3064 | Event | 2308 | 35586051 | ||
| 3064 | Event | 2324 | 2031619 | ||
| 3064 | TID 3632 PID 3064 | Thread | 2328 | 2097151 | |
| 3064 | Event | 2340 | 1048579 | ||
| 3064 | Event | 2344 | 1048579 | ||
| 3064 | Event | 2348 | 1048579 | ||
| 3064 | \Device\KsecDD | File | 2352 | 1048579 | |
| 3064 | C:*ProgramData*Microsoft*Windows*Caches*cversions.2.ro | Section | 2356 | 4 | |
| 3064 | TID 3384 PID 3064 | Thread | 2368 | 2097151 | |
| 3064 | Event | 2396 | 35586051 | ||
| 3064 | Event | 2400 | 2031619 | ||
| 3064 | TID 2804 PID 3064 | Thread | 2404 | 2097151 | |
| 3064 | TID 3756 PID 3064 | Thread | 2408 | 2097151 | |
| 3064 | Event | 2428 | 2031619 | ||
| 3064 | Section | 2436 | 983044 | ||
| 3064 | Section | 2440 | 983044 | ||
| 3108 | KnownDlls | Directory | 4 | 3 | |
| 3108 | steamwebhelper(3896) | Process | 8 | 1053777 | |
| 3108 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 12 | 1048608 | |
| 3108 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 16 | 9 | |
| 3108 | ALPC Port | 20 | 2031617 | ||
| 3108 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 24 | 9 | |
| 3108 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 28 | 131097 | |
| 3108 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 32 | 1 | |
| 3108 | EtwRegistration | 36 | 2052 | ||
| 3108 | Event | 40 | 35586051 | ||
| 3108 | WinSta0 | WindowStation | 44 | 983935 | |
| 3108 | Default | Desktop | 48 | 983551 | |
| 3108 | WinSta0 | WindowStation | 52 | 983935 | |
| 3108 | MACHINE | Key | 56 | 983103 | |
| 3108 | Mutant | 60 | 2031617 | ||
| 3108 | Event | 64 | 2031619 | ||
| 3108 | EtwRegistration | 68 | 2052 | ||
| 3108 | EtwRegistration | 72 | 2052 | ||
| 3108 | EtwRegistration | 76 | 2052 | ||
| 3108 | Event | 80 | 2031619 | ||
| 3108 | Event | 84 | 2031619 | ||
| 3108 | Event | 88 | 2031619 | ||
| 3108 | Event | 92 | 2031619 | ||
| 3108 | Event | 96 | 2031619 | ||
| 3108 | Event | 100 | 2031619 | ||
| 3108 | BaseNamedObjects | Directory | 104 | 15 | |
| 3108 | EtwRegistration | 108 | 2052 | ||
| 3108 | EtwRegistration | 112 | 2052 | ||
| 3108 | EtwRegistration | 116 | 2052 | ||
| 3108 | EtwRegistration | 120 | 2052 | ||
| 3108 | EtwRegistration | 124 | 2052 | ||
| 3108 | EtwRegistration | 128 | 2052 | ||
| 3108 | Semaphore | 132 | 1048579 | ||
| 3108 | Semaphore | 136 | 1048579 | ||
| 3108 | EtwRegistration | 140 | 2052 | ||
| 3108 | Event | 144 | 2031619 | ||
| 3108 | EtwRegistration | 148 | 2052 | ||
| 3108 | Semaphore | 152 | 2031619 | ||
| 3108 | Event | 156 | 2031619 | ||
| 3108 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 160 | 983103 | |
| 3108 | SteamChrome_MasterStream_spid3064_mutex-IPCWrapper | Mutant | 164 | 2031617 | |
| 3108 | SteamChrome_MasterStream_spid3064_written-IPCWrapper | Event | 168 | 2031619 | |
| 3108 | SteamChrome_MasterStream_spid3064_avail-IPCWrapper | Event | 172 | 2031619 | |
| 3108 | SteamChrome_MasterStream_spid3064_mem-IPCWrapper | Section | 176 | 983047 | |
| 3108 | SteamChrome_MasterStream_Event_spid3064-IPCWrapper | Event | 180 | 2031619 | |
| 3108 | EtwRegistration | 184 | 2052 | ||
| 3108 | EtwRegistration | 188 | 2052 | ||
| 3108 | EtwRegistration | 192 | 2052 | ||
| 3108 | EtwRegistration | 196 | 2052 | ||
| 3108 | EtwRegistration | 200 | 2052 | ||
| 3108 | \Device\HarddiskVolume2\Program Files\Steam\debug.log | File | 204 | 1180054 | |
| 3108 | \Device\HarddiskVolume2\Program Files\Steam\bin\icudtl.dat | File | 208 | 1179785 | |
| 3108 | Section | 212 | 983045 | ||
| 3108 | \Device\HarddiskVolume2\Program Files\Steam\bin\locales\en-US.pak | File | 216 | 1179785 | |
| 3108 | Section | 220 | 983045 | ||
| 3108 | \Device\HarddiskVolume2\Program Files\Steam\bin\cef.pak | File | 224 | 1179785 | |
| 3108 | Section | 228 | 983045 | ||
| 3108 | IoCompletion | 232 | 2031619 | ||
| 3108 | Event | 236 | 2031619 | ||
| 3108 | TID 3120 PID 3108 | Thread | 240 | 2097151 | |
| 3108 | Event | 244 | 2031619 | ||
| 3108 | Event | 248 | 2031619 | ||
| 3108 | \Device\KsecDD | File | 252 | 1048577 | |
| 3108 | EtwRegistration | 256 | 2052 | ||
| 3108 | EtwRegistration | 260 | 2052 | ||
| 3108 | ALPC Port | 264 | 2031617 | ||
| 3108 | Section | 268 | 4 | ||
| 3108 | TID 3112 PID 3108 | Thread | 272 | 2097151 | |
| 3108 | Event | 276 | 2031619 | ||
| 3108 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 280 | 983103 | |
| 3108 | Event | 284 | 2031619 | ||
| 3108 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 288 | 983103 | |
| 3108 | TID 3112 PID 3108 | Thread | 292 | 2097151 | |
| 3108 | Semaphore | 296 | 2031619 | ||
| 3108 | Event | 300 | 2031619 | ||
| 3108 | EtwRegistration | 304 | 2052 | ||
| 3108 | TID 3208 PID 3108 | Thread | 308 | 2097151 | |
| 3108 | TID 3216 PID 3108 | Thread | 312 | 2097151 | |
| 3108 | Event | 316 | 2031619 | ||
| 3108 | Event | 320 | 2031619 | ||
| 3108 | Event | 324 | 2031619 | ||
| 3108 | Event | 328 | 2031619 | ||
| 3108 | EtwRegistration | 332 | 2052 | ||
| 3108 | EtwRegistration | 336 | 2052 | ||
| 3108 | Event | 340 | 2031619 | ||
| 3108 | TID 3112 PID 3108 | Thread | 344 | 2097151 | |
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\data_2 | File | 348 | 1245599 | |
| 3108 | IoCompletion | 352 | 2031619 | ||
| 3108 | TpWorkerFactory | 356 | 983295 | ||
| 3108 | KeyedEvent | 360 | 983043 | ||
| 3108 | Timer | 364 | 1048578 | ||
| 3108 | Timer | 368 | 2031619 | ||
| 3108 | TID 3132 PID 3108 | Thread | 372 | 2097151 | |
| 3108 | TID 3132 PID 3108 | Thread | 376 | 2097151 | |
| 3108 | IoCompletion | 380 | 2031619 | ||
| 3108 | TpWorkerFactory | 384 | 983295 | ||
| 3108 | Timer | 388 | 1048578 | ||
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\data_2 | File | 392 | 1245599 | |
| 3108 | Section | 396 | 983047 | ||
| 3108 | \Device\Nsi | File | 400 | 1048704 | |
| 3108 | Event | 404 | 2031619 | ||
| 3108 | Event | 408 | 35586051 | ||
| 3108 | EtwRegistration | 412 | 2052 | ||
| 3108 | TID 3164 PID 3108 | Thread | 416 | 2097151 | |
| 3108 | TID 3216 PID 3108 | Thread | 420 | 2097151 | |
| 3108 | DBWinMutex | Mutant | 424 | 2031617 | |
| 3108 | TID 3164 PID 3108 | Thread | 428 | 2097151 | |
| 3108 | IoCompletion | 432 | 2031619 | ||
| 3108 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP\PARAMETERS | Key | 436 | 16 | |
| 3108 | Event | 440 | 2031619 | ||
| 3108 | IoCompletion | 444 | 2031619 | ||
| 3108 | TpWorkerFactory | 448 | 983295 | ||
| 3108 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TCPIP6\PARAMETERS | Key | 452 | 16 | |
| 3108 | Event | 456 | 2031619 | ||
| 3108 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\DNSCACHE\PARAMETERS | Key | 460 | 16 | |
| 3108 | Event | 464 | 2031619 | ||
| 3108 | \Device\HarddiskVolume2\Windows\System32\drivers\etc | File | 468 | 1048577 | |
| 3108 | TID 3180 PID 3108 | Thread | 472 | 2097151 | |
| 3108 | EtwRegistration | 476 | 2052 | ||
| 3108 | steamwebhelper(2108) | Process | 480 | 1048576 | |
| 3108 | steamwebhelper(3896) | Process | 484 | 2097151 | |
| 3108 | Section | 488 | 983047 | ||
| 3108 | TID 3180 PID 3108 | Thread | 492 | 2097151 | |
| 3108 | Event | 496 | 2031619 | ||
| 3108 | Event | 500 | 2031619 | ||
| 3108 | Event | 504 | 2031619 | ||
| 3108 | EtwRegistration | 508 | 2052 | ||
| 3108 | EtwRegistration | 512 | 2052 | ||
| 3108 | EtwRegistration | 516 | 2052 | ||
| 3108 | EtwRegistration | 520 | 2052 | ||
| 3108 | __ComCatalogCache__ | Section | 524 | 4 | |
| 3108 | USER\S-1-5-21-4043008248-2851492338-1992526481-500_CLASSES | Key | 528 | 983103 | |
| 3108 | MaximumCommitCondition | Event | 532 | 1048577 | |
| 3108 | __ComCatalogCache__ | Section | 536 | 4 | |
| 3108 | EtwRegistration | 540 | 2052 | ||
| 3108 | EtwRegistration | 544 | 2052 | ||
| 3108 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 548 | 1179785 | |
| 3108 | Event | 552 | 2031619 | ||
| 3108 | Mutant | 556 | 2031617 | ||
| 3108 | Event | 560 | 2031619 | ||
| 3108 | Mutant | 564 | 2031617 | ||
| 3108 | Event | 568 | 2031619 | ||
| 3108 | Mutant | 572 | 2031617 | ||
| 3108 | Event | 576 | 2031619 | ||
| 3108 | Mutant | 580 | 2031617 | ||
| 3108 | ALPC Port | 584 | 2031617 | ||
| 3108 | \Device\NamedPipe\chrome.3108.1.8089658 | File | 596 | 1704351 | |
| 3108 | Timer | 600 | 2031619 | ||
| 3108 | EtwRegistration | 604 | 2052 | ||
| 3108 | EtwRegistration | 608 | 2052 | ||
| 3108 | ALPC Port | 612 | 2031617 | ||
| 3108 | Event | 616 | 35586051 | ||
| 3108 | TID 3208 PID 3108 | Thread | 620 | 2097151 | |
| 3108 | EtwRegistration | 624 | 2052 | ||
| 3108 | Event | 628 | 2031619 | ||
| 3108 | TID 3228 PID 3108 | Thread | 632 | 2097151 | |
| 3108 | Mutant | 636 | 2031617 | ||
| 3108 | Mutant | 640 | 2031617 | ||
| 3108 | TID 3228 PID 3108 | Thread | 644 | 2097151 | |
| 3108 | Event | 648 | 35586051 | ||
| 3108 | TID 3240 PID 3108 | Thread | 652 | 2097151 | |
| 3108 | ALPC Port | 656 | 2031617 | ||
| 3108 | Event | 660 | 2031619 | ||
| 3108 | Event | 664 | 2031619 | ||
| 3108 | Event | 668 | 2031619 | ||
| 3108 | EtwRegistration | 672 | 2052 | ||
| 3108 | TID 3240 PID 3108 | Thread | 676 | 2097151 | |
| 3108 | Event | 680 | 2031619 | ||
| 3108 | TID 3256 PID 3108 | Thread | 684 | 2097151 | |
| 3108 | TID 3180 PID 3108 | Thread | 688 | 2097151 | |
| 3108 | Event | 692 | 1048579 | ||
| 3108 | TID 3256 PID 3108 | Thread | 696 | 2097151 | |
| 3108 | Event | 700 | 2031619 | ||
| 3108 | TID 3260 PID 3108 | Thread | 704 | 2097151 | |
| 3108 | TID 3208 PID 3108 | Thread | 708 | 16 | |
| 3108 | TID 3260 PID 3108 | Thread | 712 | 2097151 | |
| 3108 | IoCompletion | 716 | 2031619 | ||
| 3108 | TID 3264 PID 3108 | Thread | 720 | 2097151 | |
| 3108 | \Device\HarddiskVolume2\Windows\System32\en-US\MMDevAPI.dll.mui | File | 724 | 1179785 | |
| 3108 | TID 3264 PID 3108 | Thread | 728 | 2097151 | |
| 3108 | IoCompletion | 732 | 2031619 | ||
| 3108 | TID 3272 PID 3108 | Thread | 736 | 2097151 | |
| 3108 | TID 3272 PID 3108 | Thread | 740 | 2097151 | |
| 3108 | Event | 744 | 2031619 | ||
| 3108 | Event | 748 | 2031619 | ||
| 3108 | Event | 752 | 2031619 | ||
| 3108 | TID 3280 PID 3108 | Thread | 756 | 2097151 | |
| 3108 | TID 3280 PID 3108 | Thread | 760 | 2097151 | |
| 3108 | Mutant | 764 | 2031617 | ||
| 3108 | Event | 768 | 2031619 | ||
| 3108 | Mutant | 772 | 2031617 | ||
| 3108 | Event | 776 | 2031619 | ||
| 3108 | Event | 780 | 2031619 | ||
| 3108 | Semaphore | 784 | 2031619 | ||
| 3108 | TID 3264 PID 3108 | Thread | 788 | 2097151 | |
| 3108 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 792 | 16 | |
| 3108 | TID 3304 PID 3108 | Thread | 796 | 2097151 | |
| 3108 | Event | 800 | 1048579 | ||
| 3108 | Event | 804 | 2 | ||
| 3108 | Event | 808 | 1048578 | ||
| 3108 | Mutant | 812 | 1048576 | ||
| 3108 | TID 3308 PID 3108 | Thread | 816 | 2097151 | |
| 3108 | TID 3304 PID 3108 | Thread | 820 | 2097151 | |
| 3108 | Event | 824 | 2031619 | ||
| 3108 | Event | 828 | 2031619 | ||
| 3108 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 832 | 16 | |
| 3108 | Event | 836 | 2031619 | ||
| 3108 | MACHINE\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS | Key | 840 | 16 | |
| 3108 | Event | 844 | 2031619 | ||
| 3108 | Event | 848 | 1048579 | ||
| 3108 | Event | 852 | 1048579 | ||
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\Cookies | File | 856 | 1180063 | |
| 3108 | SteamChrome_ClientStream_3064_42008576_server_mutex-IPCWrapper | Mutant | 860 | 2031617 | |
| 3108 | SteamChrome_ClientStream_3064_42008576_server_written-IPCWrapper | Event | 864 | 2031619 | |
| 3108 | SteamChrome_ClientStream_3064_42008576_server_avail-IPCWrapper | Event | 868 | 2031619 | |
| 3108 | SteamChrome_ClientStream_3064_42008576_server_mem-IPCWrapper | Section | 872 | 983047 | |
| 3108 | SteamChrome_ClientStream_3064_42008576_client_mutex-IPCWrapper | Mutant | 876 | 2031617 | |
| 3108 | SteamChrome_ClientStream_3064_42008576_client_written-IPCWrapper | Event | 880 | 2031619 | |
| 3108 | SteamChrome_ClientStream_3064_42008576_client_avail-IPCWrapper | Event | 884 | 2031619 | |
| 3108 | SteamChrome_ClientStream_3064_42008576_client_mem-IPCWrapper | Section | 888 | 983047 | |
| 3108 | Event | 892 | 35586051 | ||
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\Cookies-journal | File | 896 | 1180063 | |
| 3108 | Event | 900 | 2031619 | ||
| 3108 | \Device\NamedPipe\chrome.3108.2.109601280 | File | 904 | 1704351 | |
| 3108 | Section | 908 | 6 | ||
| 3108 | Event | 912 | 2031619 | ||
| 3108 | EtwRegistration | 916 | 2052 | ||
| 3108 | steamwebhelper(3896) | Process | 920 | 1048576 | |
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\data_1 | File | 924 | 1245599 | |
| 3108 | \Device\HarddiskVolume2\Program Files\Steam | File | 928 | 1048608 | |
| 3108 | Event | 932 | 35586051 | ||
| 3108 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 936 | 8 | |
| 3108 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 940 | 8 | |
| 3108 | Event | 944 | 35586051 | ||
| 3108 | EtwRegistration | 948 | 2052 | ||
| 3108 | Event | 952 | 1048579 | ||
| 3108 | Event | 956 | 2031619 | ||
| 3108 | TID 3732 PID 3108 | Thread | 960 | 2097151 | |
| 3108 | Section | 964 | 6 | ||
| 3108 | TID 3732 PID 3108 | Thread | 968 | 2097151 | |
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\data_0 | File | 972 | 1245599 | |
| 3108 | Timer | 976 | 2031619 | ||
| 3108 | ALPC Port | 980 | 2031617 | ||
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\data_1 | File | 984 | 1245599 | |
| 3108 | Section | 988 | 983047 | ||
| 3108 | Event | 992 | 2031619 | ||
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\index | File | 996 | 1245599 | |
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\index | File | 1000 | 1245599 | |
| 3108 | Section | 1004 | 983047 | ||
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\data_0 | File | 1008 | 1245599 | |
| 3108 | steamwebhelper(2108) | Process | 1012 | 1053777 | |
| 3108 | Section | 1016 | 6 | ||
| 3108 | steamwebhelper(2108) | Process | 1020 | 2097151 | |
| 3108 | Event | 1024 | 1048579 | ||
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\data_3 | File | 1028 | 1245599 | |
| 3108 | \Device\HarddiskVolume2\Users\Administrator\AppData\Local\Steam\htmlcache\data_3 | File | 1032 | 1245599 | |
| 3108 | Section | 1036 | 983047 | ||
| 3108 | EtwRegistration | 1040 | 2052 | ||
| 3108 | USER | Key | 1056 | 983103 | |
| 3108 | TID 520 PID 3108 | Thread | 1060 | 2097151 | |
| 3108 | Event | 1064 | 2031619 | ||
| 3108 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 1084 | 1179785 | |
| 3108 | ALPC Port | 1128 | 2031617 | ||
| 3108 | TID 520 PID 3108 | Thread | 1132 | 2097151 | |
| 3108 | Event | 1148 | 2031619 | ||
| 3108 | TID 520 PID 3108 | Thread | 1152 | 2097151 | |
| 3108 | TID 3264 PID 3108 | Thread | 1156 | 2097151 | |
| 3108 | Event | 1160 | 2031619 | ||
| 3108 | EtwRegistration | 1164 | 2052 | ||
| 3108 | EtwRegistration | 1176 | 2052 | ||
| 3108 | Event | 1180 | 2031619 | ||
| 3108 | Event | 1184 | 35586051 | ||
| 3108 | EtwRegistration | 1188 | 2052 | ||
| 3108 | EtwRegistration | 1204 | 2052 | ||
| 3108 | Semaphore | 1208 | 2031619 | ||
| 3108 | Event | 1224 | 2031619 | ||
| 3108 | TID 2344 PID 3108 | Thread | 1228 | 2097151 | |
| 3108 | \Device\Afd\AsyncConnectHlp | File | 1232 | 34734495 | |
| 3108 | IoCompletion | 1236 | 35586051 | ||
| 3108 | Event | 1240 | 2031619 | ||
| 3108 | steamwebhelper(2108) | Process | 1244 | 1053777 | |
| 3108 | TID 2240 PID 3108 | Thread | 1248 | 2097151 | |
| 3108 | Event | 1252 | 2031619 | ||
| 3108 | Event | 1260 | 2031619 | ||
| 3108 | TID 2240 PID 3108 | Thread | 1264 | 2097151 | |
| 3896 | KnownDlls | Directory | 4 | 3 | |
| 3896 | EtwRegistration | 8 | 2052 | ||
| 3896 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 12 | 1048608 | |
| 3896 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 16 | 9 | |
| 3896 | ALPC Port | 20 | 2031617 | ||
| 3896 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 24 | 9 | |
| 3896 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 28 | 131097 | |
| 3896 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 32 | 1 | |
| 3896 | EtwRegistration | 36 | 2052 | ||
| 3896 | Event | 40 | 35586051 | ||
| 3896 | WinSta0 | WindowStation | 44 | 983935 | |
| 3896 | Default | Desktop | 48 | 983551 | |
| 3896 | WinSta0 | WindowStation | 52 | 983935 | |
| 3896 | MACHINE | Key | 56 | 983103 | |
| 3896 | Mutant | 60 | 2031617 | ||
| 3896 | Event | 64 | 2031619 | ||
| 3896 | EtwRegistration | 68 | 2052 | ||
| 3896 | EtwRegistration | 72 | 2052 | ||
| 3896 | EtwRegistration | 76 | 2052 | ||
| 3896 | Event | 80 | 2031619 | ||
| 3896 | Event | 84 | 2031619 | ||
| 3896 | Event | 88 | 2031619 | ||
| 3896 | Event | 92 | 2031619 | ||
| 3896 | Event | 96 | 2031619 | ||
| 3896 | Event | 100 | 2031619 | ||
| 3896 | BaseNamedObjects | Directory | 104 | 15 | |
| 3896 | EtwRegistration | 108 | 2052 | ||
| 3896 | EtwRegistration | 112 | 2052 | ||
| 3896 | EtwRegistration | 116 | 2052 | ||
| 3896 | EtwRegistration | 120 | 2052 | ||
| 3896 | EtwRegistration | 124 | 2052 | ||
| 3896 | EtwRegistration | 128 | 2052 | ||
| 3896 | Semaphore | 132 | 1048579 | ||
| 3896 | Semaphore | 136 | 1048579 | ||
| 3896 | EtwRegistration | 140 | 2052 | ||
| 3896 | Event | 144 | 2031619 | ||
| 3896 | EtwRegistration | 148 | 2052 | ||
| 3896 | Semaphore | 152 | 2031619 | ||
| 3896 | Event | 156 | 2031619 | ||
| 3896 | EtwRegistration | 160 | 2052 | ||
| 3896 | DBWinMutex | Mutant | 164 | 2031617 | |
| 3896 | Event | 168 | 2 | ||
| 3896 | Mutant | 172 | 1048576 | ||
| 3896 | Event | 176 | 1048578 | ||
| 3896 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 180 | 8 | |
| 3896 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 184 | 8 | |
| 3896 | EtwRegistration | 188 | 2052 | ||
| 3896 | EtwRegistration | 192 | 2052 | ||
| 3896 | EtwRegistration | 196 | 2052 | ||
| 3896 | EtwRegistration | 200 | 2052 | ||
| 3896 | \Device\HarddiskVolume2\Program Files\Steam\debug.log | File | 204 | 1180054 | |
| 3896 | \Device\HarddiskVolume2\Program Files\Steam\bin\icudtl.dat | File | 208 | 1179785 | |
| 3896 | Section | 212 | 983045 | ||
| 3896 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 216 | 983103 | |
| 3896 | \Device\HarddiskVolume2\Program Files\Steam\bin\locales\en-US.pak | File | 220 | 1179785 | |
| 3896 | Section | 224 | 983045 | ||
| 3896 | \Device\HarddiskVolume2\Program Files\Steam\bin\cef.pak | File | 228 | 1179785 | |
| 3896 | Section | 232 | 983045 | ||
| 3896 | IoCompletion | 236 | 2031619 | ||
| 3896 | Event | 240 | 2031619 | ||
| 3896 | TID 3972 PID 3896 | Thread | 244 | 2097151 | |
| 3896 | EtwRegistration | 248 | 2052 | ||
| 3896 | Event | 252 | 2031619 | ||
| 3896 | Event | 256 | 2031619 | ||
| 3896 | Event | 260 | 2031619 | ||
| 3896 | TID 3976 PID 3896 | Thread | 264 | 2097151 | |
| 3896 | TID 3976 PID 3896 | Thread | 268 | 2097151 | |
| 3896 | IoCompletion | 272 | 2031619 | ||
| 3896 | \Device\NamedPipe\chrome.3108.1.8089658 | File | 276 | 1180063 | |
| 3896 | Timer | 280 | 2031619 | ||
| 3896 | TID 3980 PID 3896 | Thread | 284 | 2097151 | |
| 3896 | TID 3980 PID 3896 | Thread | 288 | 2097151 | |
| 3896 | KeyedEvent | 292 | 983043 | ||
| 3896 | IoCompletion | 296 | 2031619 | ||
| 3896 | TpWorkerFactory | 300 | 983295 | ||
| 3896 | Semaphore | 304 | 2031619 | ||
| 3896 | Semaphore | 308 | 2031619 | ||
| 3896 | Mutant | 312 | 2031617 | ||
| 3896 | Semaphore | 316 | 2031619 | ||
| 3896 | Semaphore | 320 | 2031619 | ||
| 3896 | Mutant | 324 | 2031617 | ||
| 3896 | Semaphore | 328 | 2031619 | ||
| 3896 | Semaphore | 332 | 2031619 | ||
| 3896 | \Device\KsecDD | File | 336 | 1048577 | |
| 3896 | Semaphore | 340 | 2031619 | ||
| 3896 | TID 3900 PID 3896 | Thread | 344 | 2122 | |
| 3896 | Semaphore | 348 | 2031619 | ||
| 3896 | Semaphore | 352 | 2031619 | ||
| 3896 | Semaphore | 356 | 2031619 | ||
| 3896 | TID 3992 PID 3896 | Thread | 360 | 2097151 | |
| 3896 | ALPC Port | 364 | 2031617 | ||
| 3896 | Event | 368 | 1048579 | ||
| 3896 | \Device\HarddiskVolume2\Program Files\Steam | File | 372 | 1048608 | |
| 3896 | EtwRegistration | 376 | 2052 | ||
| 3896 | ALPC Port | 380 | 2031617 | ||
| 3896 | Section | 384 | 4 | ||
| 3896 | Section | 388 | 983047 | ||
| 3896 | Section | 392 | 6 | ||
| 3896 | Section | 400 | 6 | ||
| 3896 | Event | 404 | 1048579 | ||
| 2108 | KnownDlls | Directory | 4 | 3 | |
| 2108 | Section | 8 | 983047 | ||
| 2108 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc | File | 12 | 1048608 | |
| 2108 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 16 | 9 | |
| 2108 | ALPC Port | 20 | 2031617 | ||
| 2108 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 24 | 9 | |
| 2108 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 28 | 131097 | |
| 2108 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 32 | 1 | |
| 2108 | EtwRegistration | 36 | 2052 | ||
| 2108 | Event | 40 | 35586051 | ||
| 2108 | WinSta0 | WindowStation | 44 | 983935 | |
| 2108 | Default | Desktop | 48 | 983551 | |
| 2108 | WinSta0 | WindowStation | 52 | 983935 | |
| 2108 | MACHINE | Key | 56 | 983103 | |
| 2108 | Mutant | 60 | 2031617 | ||
| 2108 | Event | 64 | 2031619 | ||
| 2108 | EtwRegistration | 68 | 2052 | ||
| 2108 | EtwRegistration | 72 | 2052 | ||
| 2108 | EtwRegistration | 76 | 2052 | ||
| 2108 | Event | 80 | 2031619 | ||
| 2108 | Event | 84 | 2031619 | ||
| 2108 | Event | 88 | 2031619 | ||
| 2108 | Event | 92 | 2031619 | ||
| 2108 | Event | 96 | 2031619 | ||
| 2108 | Event | 100 | 2031619 | ||
| 2108 | BaseNamedObjects | Directory | 104 | 15 | |
| 2108 | EtwRegistration | 108 | 2052 | ||
| 2108 | EtwRegistration | 112 | 2052 | ||
| 2108 | EtwRegistration | 116 | 2052 | ||
| 2108 | EtwRegistration | 120 | 2052 | ||
| 2108 | EtwRegistration | 124 | 2052 | ||
| 2108 | EtwRegistration | 128 | 2052 | ||
| 2108 | Semaphore | 132 | 1048579 | ||
| 2108 | Semaphore | 136 | 1048579 | ||
| 2108 | EtwRegistration | 140 | 2052 | ||
| 2108 | Event | 144 | 2031619 | ||
| 2108 | EtwRegistration | 148 | 2052 | ||
| 2108 | Semaphore | 152 | 2031619 | ||
| 2108 | Event | 156 | 2031619 | ||
| 2108 | EtwRegistration | 160 | 2052 | ||
| 2108 | DBWinMutex | Mutant | 164 | 2031617 | |
| 2108 | Event | 168 | 2 | ||
| 2108 | Mutant | 172 | 1048576 | ||
| 2108 | Event | 176 | 1048578 | ||
| 2108 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 180 | 8 | |
| 2108 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 184 | 8 | |
| 2108 | EtwRegistration | 188 | 2052 | ||
| 2108 | EtwRegistration | 192 | 2052 | ||
| 2108 | EtwRegistration | 196 | 2052 | ||
| 2108 | EtwRegistration | 200 | 2052 | ||
| 2108 | \Device\HarddiskVolume2\Program Files\Steam\debug.log | File | 204 | 1180054 | |
| 2108 | \Device\HarddiskVolume2\Program Files\Steam\bin\icudtl.dat | File | 208 | 1179785 | |
| 2108 | Section | 212 | 983045 | ||
| 2108 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 216 | 983103 | |
| 2108 | \Device\HarddiskVolume2\Program Files\Steam\bin\locales\en-US.pak | File | 220 | 1179785 | |
| 2108 | Section | 224 | 983045 | ||
| 2108 | \Device\HarddiskVolume2\Program Files\Steam\bin\cef.pak | File | 228 | 1179785 | |
| 2108 | Section | 232 | 983045 | ||
| 2108 | IoCompletion | 236 | 2031619 | ||
| 2108 | Event | 240 | 2031619 | ||
| 2108 | TID 2128 PID 2108 | Thread | 244 | 2097151 | |
| 2108 | EtwRegistration | 248 | 2052 | ||
| 2108 | Event | 252 | 2031619 | ||
| 2108 | Event | 256 | 2031619 | ||
| 2108 | Event | 260 | 2031619 | ||
| 2108 | TID 2132 PID 2108 | Thread | 264 | 2097151 | |
| 2108 | TID 2132 PID 2108 | Thread | 268 | 2097151 | |
| 2108 | IoCompletion | 272 | 2031619 | ||
| 2108 | \Device\NamedPipe\chrome.3108.2.109601280 | File | 276 | 1180063 | |
| 2108 | Timer | 280 | 2031619 | ||
| 2108 | TID 956 PID 2108 | Thread | 284 | 2097151 | |
| 2108 | TID 956 PID 2108 | Thread | 288 | 2097151 | |
| 2108 | KeyedEvent | 292 | 983043 | ||
| 2108 | IoCompletion | 296 | 2031619 | ||
| 2108 | TpWorkerFactory | 300 | 983295 | ||
| 2108 | Semaphore | 304 | 2031619 | ||
| 2108 | Semaphore | 308 | 2031619 | ||
| 2108 | Mutant | 312 | 2031617 | ||
| 2108 | Semaphore | 316 | 2031619 | ||
| 2108 | Semaphore | 320 | 2031619 | ||
| 2108 | Mutant | 324 | 2031617 | ||
| 2108 | Semaphore | 328 | 2031619 | ||
| 2108 | Semaphore | 332 | 2031619 | ||
| 2108 | \Device\KsecDD | File | 336 | 1048577 | |
| 2108 | Semaphore | 340 | 2031619 | ||
| 2108 | TID 2044 PID 2108 | Thread | 344 | 2122 | |
| 2108 | Semaphore | 348 | 2031619 | ||
| 2108 | Semaphore | 352 | 2031619 | ||
| 2108 | Semaphore | 356 | 2031619 | ||
| 2108 | TID 1064 PID 2108 | Thread | 360 | 2097151 | |
| 2108 | ALPC Port | 364 | 2031617 | ||
| 2108 | \Device\HarddiskVolume2\Program Files\Steam | File | 368 | 1048608 | |
| 2108 | Event | 372 | 1048579 | ||
| 2108 | Event | 376 | 1048579 | ||
| 2108 | Section | 380 | 6 | ||
| 2108 | Event | 384 | 1048579 | ||
| 2108 | EtwRegistration | 388 | 2052 | ||
| 2108 | TID 2284 PID 2108 | Thread | 392 | 2097151 | |
| 2108 | TID 2284 PID 2108 | Thread | 396 | 2097151 | |
| 2108 | Event | 400 | 2031619 | ||
| 2108 | EtwRegistration | 404 | 2052 | ||
| 2108 | ALPC Port | 408 | 2031617 | ||
| 2108 | Section | 412 | 4 | ||
| 2152 | KnownDlls | Directory | 4 | 3 | |
| 2152 | \Device\HarddiskVolume2\bxlzwmpt | File | 8 | 1048608 | |
| 2152 | Event | 12 | 2031619 | ||
| 2152 | ALPC Port | 16 | 2031617 | ||
| 2152 | ALPC Port | 20 | 2031617 | ||
| 2152 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57 | File | 24 | 1048608 | |
| 2152 | \Device\HarddiskVolume2\Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57 | File | 28 | 1048608 | |
| 2152 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 32 | 9 | |
| 2152 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 36 | 9 | |
| 2152 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 40 | 131097 | |
| 2152 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 44 | 1 | |
| 2152 | EtwRegistration | 48 | 2052 | ||
| 2152 | Event | 52 | 35586051 | ||
| 2152 | WinSta0 | WindowStation | 56 | 983935 | |
| 2152 | Default | Desktop | 60 | 983551 | |
| 2152 | WinSta0 | WindowStation | 64 | 983935 | |
| 2152 | MACHINE | Key | 68 | 983103 | |
| 2152 | Mutant | 72 | 2031617 | ||
| 2152 | Event | 76 | 2031619 | ||
| 2152 | EtwRegistration | 80 | 2052 | ||
| 2152 | EtwRegistration | 84 | 2052 | ||
| 2152 | EtwRegistration | 88 | 2052 | ||
| 2152 | EtwRegistration | 92 | 2052 | ||
| 2152 | EtwRegistration | 96 | 2052 | ||
| 2152 | EtwRegistration | 100 | 2052 | ||
| 2152 | EtwRegistration | 104 | 2052 | ||
| 2152 | Event | 108 | 2031619 | ||
| 2152 | USER\S-1-5-21-4043008248-2851492338-1992526481-500 | Key | 112 | 983103 | |
| 2152 | Event | 116 | 2031619 | ||
| 2152 | Event | 120 | 2031619 | ||
| 2152 | Event | 124 | 2031619 | ||
| 2152 | Event | 128 | 2031619 | ||
| 2152 | \Device\HarddiskVolume2\Windows\System32\en-US\KernelBase.dll.mui | File | 132 | 1179785 | |
| 2152 | TID 2480 PID 2152 | Thread | 136 | 2097151 | |
| 2152 | Event | 140 | 2031619 | ||
| 2152 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\PROTOCOL_CATALOG9 | Key | 144 | 983103 | |
| 2152 | Event | 148 | 2031619 | ||
| 2152 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINSOCK2\PARAMETERS\NAMESPACE_CATALOG5 | Key | 152 | 983103 | |
| 2152 | Event | 156 | 2031619 | ||
| 2152 | Event | 160 | 2031619 | ||
| 2152 | Event | 164 | 2031619 | ||
| 2152 | Event | 168 | 2031619 | ||
| 2152 | Event | 172 | 2031619 | ||
| 2152 | Event | 176 | 2031619 | ||
| 2152 | Event | 180 | 2031619 | ||
| 2152 | Event | 184 | 2031619 | ||
| 2152 | Event | 188 | 2031619 | ||
| 2152 | Event | 192 | 2031619 | ||
| 2152 | Event | 196 | 2031619 | ||
| 2152 | Event | 200 | 2031619 | ||
| 2152 | Event | 204 | 2031619 | ||
| 2152 | Event | 208 | 2031619 | ||
| 2152 | Event | 212 | 2031619 | ||
| 2152 | Event | 216 | 2031619 | ||
| 2152 | Event | 220 | 2031619 | ||
| 2152 | Event | 224 | 2031619 | ||
| 2152 | Event | 228 | 2031619 | ||
| 2152 | Event | 232 | 2031619 | ||
| 2152 | Event | 236 | 2031619 | ||
| 2152 | Event | 240 | 2031619 | ||
| 2152 | Event | 244 | 2031619 | ||
| 2152 | Event | 248 | 2031619 | ||
| 2152 | Event | 252 | 2031619 | ||
| 2152 | Event | 256 | 2031619 | ||
| 2152 | Event | 260 | 2031619 | ||
| 2152 | Event | 264 | 2031619 | ||
| 2152 | Event | 268 | 2031619 | ||
| 2152 | Event | 272 | 2031619 | ||
| 2152 | Event | 276 | 2031619 | ||
| 2152 | Event | 280 | 2031619 | ||
| 2152 | Event | 284 | 2031619 | ||
| 2152 | Event | 288 | 2031619 | ||
| 2152 | Event | 292 | 2031619 | ||
| 2152 | Event | 296 | 2031619 | ||
| 2152 | Event | 300 | 2031619 | ||
| 2152 | Event | 304 | 2031619 | ||
| 2152 | Event | 308 | 2031619 | ||
| 2152 | Event | 312 | 2031619 | ||
| 2152 | Event | 316 | 2031619 | ||
| 2152 | Event | 320 | 2031619 | ||
| 2152 | Event | 324 | 2031619 | ||
| 2152 | \Device\KsecDD | File | 328 | 1048577 | |
| 2152 | Event | 332 | 2031619 | ||
| 2152 | Event | 336 | 2031619 | ||
| 2152 | Event | 340 | 2031619 | ||
| 2152 | Event | 344 | 2031619 | ||
| 2152 | \Device\Afd\Endpoint | File | 348 | 1442207 | |
| 2152 | Event | 352 | 2031619 | ||
| 2152 | Event | 356 | 2031619 | ||
| 2152 | Event | 360 | 2031619 | ||
| 2152 | EtwRegistration | 364 | 2052 | ||
| 2152 | Event | 368 | 2031619 | ||
| 2152 | Event | 372 | 2031619 | ||
| 2152 | Event | 376 | 2031619 | ||
| 2152 | Event | 380 | 2031619 | ||
| 2152 | Event | 384 | 2031619 | ||
| 2152 | Event | 388 | 2031619 | ||
| 2152 | BaseNamedObjects | Directory | 392 | 15 | |
| 2152 | Event | 396 | 2031619 | ||
| 2152 | Event | 400 | 2031619 | ||
| 2152 | Event | 404 | 2031619 | ||
| 2152 | Event | 408 | 2031619 | ||
| 2152 | EtwRegistration | 412 | 2052 | ||
| 2152 | EtwRegistration | 416 | 2052 | ||
| 2152 | Event | 420 | 2031619 | ||
| 2152 | TID 2480 PID 2152 | Thread | 424 | 2097151 | |
| 2152 | IoCompletion | 432 | 2031619 | ||
| 2152 | TpWorkerFactory | 436 | 983295 | ||
| 2152 | KeyedEvent | 440 | 983043 | ||
| 2152 | Timer | 444 | 1048578 | ||
| 2152 | Timer | 448 | 2031619 | ||
| 2152 | TID 2484 PID 2152 | Thread | 452 | 2097151 | |
| 2152 | TID 2484 PID 2152 | Thread | 456 | 2097151 | |
| 2152 | IoCompletion | 460 | 2031619 | ||
| 2152 | TpWorkerFactory | 464 | 983295 | ||
| 2152 | Timer | 468 | 1048578 | ||
| 2152 | Event | 472 | 2031619 | ||
| 2152 | \Device\Afd\Endpoint | File | 476 | 1442207 | |
| 2152 | Event | 480 | 2031619 | ||
| 2152 | \Device\Afd\Endpoint | File | 484 | 1442207 | |
| 2152 | Event | 488 | 2031619 | ||
| 2152 | Event | 492 | 2031619 | ||
| 2152 | Event | 496 | 2031619 | ||
| 2152 | Event | 500 | 2031619 | ||
| 2152 | Event | 504 | 2031619 | ||
| 2152 | USER\S-1-5-21-4043008248-2851492338-1992526481-500\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION | Key | 508 | 8 | |
| 2152 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS | Key | 512 | 8 | |
| 2152 | Event | 516 | 2031619 | ||
| 2152 | Event | 520 | 2031619 | ||
| 2152 | Event | 524 | 2031619 | ||
| 2152 | Event | 528 | 2031619 | ||
| 2152 | Event | 532 | 2031619 | ||
| 2152 | tZDcfU | Mutant | 536 | 2031617 | |
| 2152 | Event | 540 | 2031619 | ||
| 2152 | Event | 544 | 2031619 | ||
| 2152 | \Device\NamedPipe\WdaXrK | File | 548 | 1180063 | |
| 2152 | EtwRegistration | 552 | 2052 | ||
| 2152 | EtwRegistration | 556 | 2052 | ||
| 2152 | ALPC Port | 560 | 2031617 | ||
| 2152 | Section | 564 | 4 | ||
| 2152 | Event | 568 | 2031619 | ||
| 2152 | Event | 576 | 35586051 | ||
| 2152 | Event | 584 | 2031619 | ||
| 2152 | Event | 592 | 2031619 | ||
| 2152 | Event | 596 | 2031619 | ||
| 2152 | Event | 600 | 2031619 | ||
| 2152 | Event | 604 | 2031619 | ||
| 2152 | Event | 612 | 2031619 | ||
| 2152 | Event | 616 | 2031619 | ||
| 2152 | \Device\NamedPipe\WdaXrK | File | 620 | 1180063 | |
| 2152 | \Device\NamedPipe\WdaXrK | File | 624 | 1180063 | |
| 2152 | \Device\NamedPipe\WdaXrK | File | 640 | 1180063 | |
| 1948 | KnownDlls | Directory | 4 | 3 | |
| 1948 | \Device\HarddiskVolume2\Windows\System32 | File | 8 | 1048608 | |
| 1948 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS | Key | 12 | 9 | |
| 1948 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\DLLNXOPTIONS | Key | 16 | 9 | |
| 1948 | ALPC Port | 20 | 2031617 | ||
| 1948 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\NLS\SORTING\VERSIONS | Key | 24 | 131097 | |
| 1948 | Mutant | 28 | 2031617 | ||
| 1948 | MACHINE | Key | 32 | 131097 | |
| 1948 | Event | 36 | 2031619 | ||
| 1948 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\SESSION MANAGER | Key | 40 | 1 | |
| 1948 | EtwRegistration | 44 | 2052 | ||
| 1948 | Event | 48 | 35586051 | ||
| 1948 | Service-0x0-3e4$ | WindowStation | 52 | 983150 | |
| 1948 | Default | Desktop | 56 | 983247 | |
| 1948 | Service-0x0-3e4$ | WindowStation | 60 | 983150 | |
| 1948 | EtwRegistration | 64 | 2052 | ||
| 1948 | Event | 68 | 2031619 | ||
| 1948 | Event | 72 | 2031619 | ||
| 1948 | Event | 76 | 2031619 | ||
| 1948 | Event | 80 | 2031619 | ||
| 1948 | Event | 84 | 2031619 | ||
| 1948 | Event | 88 | 2031619 | ||
| 1948 | BaseNamedObjects | Directory | 92 | 15 | |
| 1948 | Mutant | 96 | 2031617 | ||
| 1948 | EtwRegistration | 100 | 2052 | ||
| 1948 | EtwRegistration | 104 | 2052 | ||
| 1948 | EtwRegistration | 108 | 2052 | ||
| 1948 | EtwRegistration | 112 | 2052 | ||
| 1948 | EtwRegistration | 116 | 2052 | ||
| 1948 | EtwRegistration | 120 | 2052 | ||
| 1948 | EtwRegistration | 124 | 2052 | ||
| 1948 | EtwRegistration | 128 | 2052 | ||
| 1948 | Event | 132 | 2031619 | ||
| 1948 | Event | 136 | 2031619 | ||
| 1948 | Event | 140 | 2031619 | ||
| 1948 | EtwRegistration | 144 | 2052 | ||
| 1948 | EtwRegistration | 148 | 2052 | ||
| 1948 | Event | 152 | 2031619 | ||
| 1948 | TID 2744 PID 1948 | Thread | 156 | 2097151 | |
| 1948 | ALPC Port | 160 | 2031617 | ||
| 1948 | \Device\HarddiskVolume2\Windows\System32\en-US\user32.dll.mui | File | 164 | 1179785 | |
| 1948 | Event | 168 | 2031619 | ||
| 1948 | Event | 172 | 2031619 | ||
| 1948 | \Device\KsecDD | File | 176 | 1048577 | |
| 1948 | Event | 180 | 2031619 | ||
| 1948 | EtwRegistration | 184 | 2052 | ||
| 1948 | Event | 188 | 2031619 | ||
| 1948 | Semaphore | 192 | 1048579 | ||
| 1948 | Semaphore | 196 | 1048579 | ||
| 1948 | Semaphore | 200 | 1048579 | ||
| 1948 | Semaphore | 204 | 1048579 | ||
| 1948 | Semaphore | 208 | 1048579 | ||
| 1948 | Semaphore | 212 | 1048579 | ||
| 1948 | Semaphore | 216 | 1048579 | ||
| 1948 | Semaphore | 220 | 1048579 | ||
| 1948 | KeyedEvent | 224 | 983043 | ||
| 1948 | IoCompletion | 228 | 2031619 | ||
| 1948 | TpWorkerFactory | 232 | 983295 | ||
| 1948 | Timer | 236 | 1048578 | ||
| 1948 | Timer | 240 | 2031619 | ||
| 1948 | TID 2260 PID 1948 | Thread | 244 | 2097151 | |
| 1948 | TID 2260 PID 1948 | Thread | 248 | 2097151 | |
| 1948 | Timer | 252 | 1048578 | ||
| 1948 | ALPC Port | 256 | 2031617 | ||
| 1948 | Event | 260 | 2031619 | ||
| 1948 | Event | 264 | 2031619 | ||
| 1948 | Wmi Provider Sub System Counters | Section | 268 | 6 | |
| 1948 | Event | 272 | 2031619 | ||
| 1948 | Event | 276 | 2031619 | ||
| 1948 | Event | 280 | 2031619 | ||
| 1948 | WBEM_ESS_OPEN_FOR_BUSINESS | Event | 284 | 1048576 | |
| 1948 | Event | 288 | 2031619 | ||
| 1948 | TID 2256 PID 1948 | Thread | 292 | 2097151 | |
| 1948 | __ComCatalogCache__ | Section | 296 | 4 | |
| 1948 | MACHINE\SOFTWARE\CLASSES | Key | 300 | 131097 | |
| 1948 | MaximumCommitCondition | Event | 304 | 1048577 | |
| 1948 | __ComCatalogCache__ | Section | 308 | 4 | |
| 1948 | EtwRegistration | 312 | 2052 | ||
| 1948 | EtwRegistration | 316 | 2052 | ||
| 1948 | OLEC53C21ED7DB24A439935DE0D4D1A | ALPC Port | 320 | 2031617 | |
| 1948 | Event | 324 | 2031619 | ||
| 1948 | EtwRegistration | 328 | 2052 | ||
| 1948 | EVENT_READYROOT/CIMV2PROVIDERSUBSYSTEM | Event | 336 | 1048576 | |
| 1948 | ALPC Port | 344 | 2031617 | ||
| 1948 | Event | 348 | 2031619 | ||
| 1948 | Event | 352 | 2031619 | ||
| 1948 | TID 2744 PID 1948 | Thread | 356 | 2097151 | |
| 1948 | Event | 360 | 2031619 | ||
| 1948 | Event | 364 | 2031619 | ||
| 1948 | ALPC Port | 368 | 2031617 | ||
| 1948 | Event | 372 | 2031619 | ||
| 1948 | Event | 376 | 2031619 | ||
| 1948 | Event | 380 | 2031619 | ||
| 1948 | TID 2964 PID 1948 | Thread | 384 | 2097151 | |
| 1948 | Event | 388 | 2031619 | ||
| 1948 | Event | 392 | 2031619 | ||
| 1948 | Event | 396 | 2031619 | ||
| 1948 | Event | 400 | 2031619 | ||
| 1948 | Event | 404 | 35586051 | ||
| 1948 | Event | 408 | 2031619 | ||
| 1948 | TID 2352 PID 1948 | Thread | 412 | 2097151 | |
| 1948 | ALPC Port | 416 | 2031617 | ||
| 1948 | Event | 420 | 2031619 | ||
| 1948 | TID 2352 PID 1948 | Thread | 424 | 2097151 | |
| 1948 | MACHINE\SOFTWARE\CLASSES | Key | 428 | 131097 | |
| 1948 | Semaphore | 432 | 1048579 | ||
| 1948 | Semaphore | 436 | 1048579 | ||
| 1948 | Event | 440 | 2031619 | ||
| 1948 | Event | 444 | 2031619 | ||
| 1948 | Event | 448 | 2031619 | ||
| 1948 | Event | 452 | 2031619 | ||
| 1948 | Event | 456 | 2031619 | ||
| 1948 | ALPC Port | 460 | 2031617 | ||
| 1948 | Event | 464 | 2031619 | ||
| 1948 | \Device\WMIDataDevice | File | 468 | 1180063 | |
| 1948 | Event | 472 | 2031619 | ||
| 1948 | Event | 476 | 2031619 | ||
| 1948 | TID 1540 PID 1948 | Thread | 480 | 2097151 | |
| 1948 | EtwRegistration | 484 | 2052 | ||
| 1948 | \Device\HarddiskVolume2\Windows\System32\wbem\en-US\cimwin32.dll.mui | File | 488 | 1179785 | |
| 1948 | Mutant | 492 | 2031617 | ||
| 1948 | Event | 496 | 2031619 | ||
| 1948 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PERFLIB | Key | 500 | 131097 | |
| 1948 | ALPC Port | 504 | 2031617 | ||
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\.NET CLR DATA\PERFORMANCE | Key | 508 | 131103 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\.NET CLR NETWORKING\PERFORMANCE | Key | 512 | 131103 | |
| 1948 | .NET CLR Data_Perf_Library_Lock_PID_79c | Mutant | 516 | 2031617 | |
| 1948 | .NET CLR Networking_Perf_Library_Lock_PID_79c | Mutant | 520 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\.NET CLR NETWORKING 4.0.0.0\PERFORMANCE | Key | 524 | 131103 | |
| 1948 | .NET CLR Networking 4.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 528 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\.NET DATA PROVIDER FOR ORACLE\PERFORMANCE | Key | 532 | 131103 | |
| 1948 | .NET Data Provider for Oracle_Perf_Library_Lock_PID_79c | Mutant | 536 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\.NET DATA PROVIDER FOR SQLSERVER\PERFORMANCE | Key | 540 | 131103 | |
| 1948 | .NET Data Provider for SqlServer_Perf_Library_Lock_PID_79c | Mutant | 544 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\.NET MEMORY CACHE 4.0\PERFORMANCE | Key | 548 | 131103 | |
| 1948 | .NET Memory Cache 4.0_Perf_Library_Lock_PID_79c | Mutant | 552 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\.NETFRAMEWORK\PERFORMANCE | Key | 556 | 131103 | |
| 1948 | .NETFramework_Perf_Library_Lock_PID_79c | Mutant | 560 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\ASP.NET\PERFORMANCE | Key | 564 | 131103 | |
| 1948 | ASP.NET_Perf_Library_Lock_PID_79c | Mutant | 568 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\ASP.NET_4.0.30319\PERFORMANCE | Key | 572 | 131103 | |
| 1948 | ASP.NET_4.0.30319_Perf_Library_Lock_PID_79c | Mutant | 576 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\ASPNET_STATE\PERFORMANCE | Key | 580 | 131103 | |
| 1948 | aspnet_state_Perf_Library_Lock_PID_79c | Mutant | 584 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\LSA\PERFORMANCE | Key | 588 | 131103 | |
| 1948 | Lsa_Perf_Library_Lock_PID_79c | Mutant | 592 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\MSDTC BRIDGE 3.0.0.0\PERFORMANCE | Key | 596 | 131103 | |
| 1948 | MSDTC Bridge 3.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 600 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\MSDTC BRIDGE 4.0.0.0\PERFORMANCE | Key | 604 | 131103 | |
| 1948 | MSDTC Bridge 4.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 608 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\RDYBOOST\PERFORMANCE | Key | 612 | 131103 | |
| 1948 | rdyboost_Perf_Library_Lock_PID_79c | Mutant | 616 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SERVICEMODELENDPOINT 3.0.0.0\PERFORMANCE | Key | 620 | 131103 | |
| 1948 | ServiceModelEndpoint 3.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 624 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SERVICEMODELOPERATION 3.0.0.0\PERFORMANCE | Key | 628 | 131103 | |
| 1948 | ServiceModelOperation 3.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 632 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SERVICEMODELSERVICE 3.0.0.0\PERFORMANCE | Key | 636 | 131103 | |
| 1948 | ServiceModelService 3.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 640 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SMSVCHOST 3.0.0.0\PERFORMANCE | Key | 644 | 131103 | |
| 1948 | SMSvcHost 3.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 648 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SMSVCHOST 4.0.0.0\PERFORMANCE | Key | 652 | 131103 | |
| 1948 | SMSvcHost 4.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 656 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\SPOOLER\PERFORMANCE | Key | 660 | 131103 | |
| 1948 | Spooler_Perf_Library_Lock_PID_79c | Mutant | 664 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\TAPISRV\PERFORMANCE | Key | 668 | 131103 | |
| 1948 | TapiSrv_Perf_Library_Lock_PID_79c | Mutant | 672 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINDOWS WORKFLOW FOUNDATION 3.0.0.0\PERFORMANCE | Key | 676 | 131103 | |
| 1948 | Windows Workflow Foundation 3.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 680 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WINDOWS WORKFLOW FOUNDATION 4.0.0.0\PERFORMANCE | Key | 684 | 131103 | |
| 1948 | Windows Workflow Foundation 4.0.0.0_Perf_Library_Lock_PID_79c | Mutant | 688 | 2031617 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES\WMIAPRPL\PERFORMANCE | Key | 692 | 131103 | |
| 1948 | WmiApRpl_Perf_Library_Lock_PID_79c | Mutant | 696 | 2031617 | |
| 1948 | LOADPERF_MUTEX | Mutant | 700 | 2031617 | |
| 1948 | EtwRegistration | 704 | 2052 | ||
| 1948 | Mutant | 708 | 2031617 | ||
| 1948 | Event | 712 | 2031619 | ||
| 1948 | \Device\HarddiskVolume2\Windows\System32\en-US\setupapi.dll.mui | File | 716 | 1179785 | |
| 1948 | Event | 720 | 2031619 | ||
| 1948 | Mutant | 724 | 2031617 | ||
| 1948 | Event | 728 | 2031619 | ||
| 1948 | Mutant | 732 | 2031617 | ||
| 1948 | Semaphore | 736 | 1048579 | ||
| 1948 | EtwRegistration | 740 | 2052 | ||
| 1948 | Event | 744 | 35586051 | ||
| 1948 | MACHINE\SYSTEM\CONTROLSET001\ENUM | Key | 748 | 131097 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\SERVICES | Key | 752 | 983103 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CLASS | Key | 756 | 983103 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\DEVICECLASSES | Key | 760 | 983103 | |
| 1948 | MACHINE\SYSTEM\CONTROLSET001\CONTROL\CODEVICEINSTALLERS | Key | 764 | 983103 | |
| 1948 | MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PERHWIDSTORAGE | Key | 768 | 983103 | |
| 1948 | TID 2968 PID 1948 | Thread | 772 | 2097151 | |
| 1948 | Semaphore | 776 | 1048579 | ||
| 1948 | Semaphore | 780 | 1048579 | ||
| 1948 | Semaphore | 784 | 1048579 | ||
| 1948 | Semaphore | 788 | 1048579 | ||
| 1948 | Event | 792 | 2031619 | ||
| 1948 | Mutant | 796 | 2031617 | ||
| 1948 | Mutant | 800 | 2031617 | ||
| 1948 | Event | 804 | 2031619 | ||
| 1948 | Event | 808 | 2031619 | ||
| 1948 | Semaphore | 812 | 1048579 | ||
| 1948 | Semaphore | 816 | 1048579 | ||
| 1948 | Semaphore | 820 | 1048579 | ||
| 1948 | Semaphore | 824 | 1048579 | ||
| 1948 | Semaphore | 828 | 1048579 | ||
| 1948 | Semaphore | 832 | 1048579 | ||
| 1948 | Semaphore | 836 | 1048579 | ||
| 1948 | Semaphore | 840 | 1048579 | ||
| 1948 | Semaphore | 844 | 1048579 | ||
| 1948 | Semaphore | 848 | 1048579 | ||
| 1948 | Semaphore | 852 | 1048579 | ||
| 1948 | Semaphore | 856 | 1048579 | ||
| 1948 | Semaphore | 860 | 1048579 | ||
| 1948 | Semaphore | 868 | 1048579 | ||
| 1948 | Semaphore | 872 | 1048579 | ||
| 1948 | Semaphore | 876 | 1048579 | ||
| 1948 | Semaphore | 880 | 1048579 | ||
| 1948 | Semaphore | 884 | 1048579 | ||
| 1948 | Semaphore | 888 | 1048579 | ||
| 1948 | EtwRegistration | 892 | 2052 | ||
| 1948 | Semaphore | 896 | 1048579 | ||
| 1948 | Semaphore | 900 | 1048579 | ||
| 1948 | EtwRegistration | 904 | 2052 | ||
| 1948 | EtwRegistration | 908 | 2052 | ||
| 1948 | EtwRegistration | 912 | 2052 | ||
| 1948 | EtwRegistration | 916 | 2052 | ||
| 1948 | EtwRegistration | 920 | 2052 | ||
| 1948 | EtwRegistration | 924 | 2052 | ||
| 1948 | Semaphore | 928 | 1048579 | ||
| 1948 | Semaphore | 932 | 1048579 |
| Type | Callback | Module | Detail |
|---|---|---|---|
| GenericKernelCallback | 0x8ff271d9 | peauth.sys | - |
| EventCategoryTargetDeviceChange | 0x91e649f5 | win32k.sys | Win32k |
| EventCategoryHardwareProfileChange | 0x89aa0055 | VIDEOPRT.SYS | VBoxVideo |
| EventCategoryTargetDeviceChange | 0x8935722e | mountmgr.sys | mountmgr |
| EventCategoryDeviceInterfaceChange | 0x91cfb547 | win32k.sys | Win32k |
| EventCategoryDeviceInterfaceChange | 0x91cfb547 | win32k.sys | Win32k |
| EventCategoryTargetDeviceChange | 0x91e649f5 | win32k.sys | Win32k |
| EventCategoryDeviceInterfaceChange | 0x91cfbccc | win32k.sys | Win32k |
| EventCategoryDeviceInterfaceChange | 0x91cfb547 | win32k.sys | Win32k |
| EventCategoryTargetDeviceChange | 0x91e649f5 | win32k.sys | Win32k |
| EventCategoryTargetDeviceChange | 0x91ddc966 | win32k.sys | Win32k |
| EventCategoryTargetDeviceChange | 0x91e649f5 | win32k.sys | Win32k |
| EventCategoryHardwareProfileChange | 0x8fc57970 | HDAudBus.sys | HDAudBus |
| IoRegisterFsRegistrationChange | 0x893b5bda | fltmgr.sys | - |
| GenericKernelCallback | 0x91e6a9f6 | win32k.sys | - |
| GenericKernelCallback | 0x89109df0 | CI.dll | - |
| GenericKernelCallback | 0x895739d8 | ksecdd.sys | - |
| GenericKernelCallback | 0x8957ed96 | cng.sys | - |
| GenericKernelCallback | 0x898ac733 | tcpip.sys | - |
| GenericKernelCallback | 0x82a78db4 | ntoskrnl.exe | - |
| GenericKernelCallback | 0x828a8984 | ntoskrnl.exe | - |
| EventCategoryHardwareProfileChange | 0x897d60ac | i8042prt.sys | i8042prt |
| EventCategoryDeviceInterfaceChange | 0x8fcf293a | CompositeBus.sys | CompositeBus |
| EventCategoryDeviceInterfaceChange | 0x892c5664 | compbatt.sys | Compbatt |
| EventCategoryDeviceInterfaceChange | 0x8fcf293a | CompositeBus.sys | CompositeBus |
| EventCategoryDeviceInterfaceChange | 0x892df3e0 | volmgr.sys | volmgr |
| EventCategoryDeviceInterfaceChange | 0x892bbd86 | partmgr.sys | partmgr |
| EventCategoryDeviceInterfaceChange | 0x892df3e0 | volmgr.sys | volmgr |
| EventCategoryDeviceInterfaceChange | 0x89358216 | mountmgr.sys | mountmgr |
| EventCategoryDeviceInterfaceChange | 0x82996848 | ntoskrnl.exe | PnpManager |
| EventCategoryDeviceInterfaceChange | 0x82996848 | ntoskrnl.exe | PnpManager |
| EventCategoryDeviceInterfaceChange | 0x82996848 | ntoskrnl.exe | PnpManager |
| EventCategoryDeviceInterfaceChange | 0x82996848 | ntoskrnl.exe | PnpManager |
| EventCategoryDeviceInterfaceChange | 0x82996848 | ntoskrnl.exe | PnpManager |
| EventCategoryDeviceInterfaceChange | 0x899d1d42 | volsnap.sys | volsnap |
| EventCategoryTargetDeviceChange | 0x899a6b9c | volsnap.sys | volsnap |
| EventCategoryTargetDeviceChange | 0x8935722e | mountmgr.sys | mountmgr |
| EventCategoryTargetDeviceChange | 0x899a6b9c | volsnap.sys | volsnap |
| EventCategoryTargetDeviceChange | 0x828faaf0 | ntoskrnl.exe | ACPI |
| EventCategoryTargetDeviceChange | 0x8935722e | mountmgr.sys | mountmgr |
| IoRegisterShutdownNotification | 0x8fdfe783 | usbhub.sys | \Driver\usbhub |
| IoRegisterShutdownNotification | 0x89aa6107 | VIDEOPRT.SYS | \Driver\VgaSave |
| IoRegisterShutdownNotification | 0x89aa6107 | VIDEOPRT.SYS | \Driver\VBoxVideo |
| IoRegisterShutdownNotification | 0x828c0359 | ntoskrnl.exe | \Driver\WMIxWDM |
| IoRegisterShutdownNotification | 0x82ae74f3 | ntoskrnl.exe | \FileSystem\RAW |
| IoRegisterShutdownNotification | 0x89350172 | mountmgr.sys | \Driver\mountmgr |
| IoRegisterShutdownNotification | 0x89573a14 | ksecdd.sys | \Driver\KSecDD |
| IoRegisterShutdownNotification | 0x892d9318 | volmgr.sys | \Driver\volmgr |
| KeBugCheckCallbackListHead | 0x89646b96 | ndis.sys | Ndis miniport |
| KeBugCheckCallbackListHead | 0x89646b96 | ndis.sys | Ndis miniport |
| KeRegisterBugCheckReasonCallback | 0x891fb72d | Wdf01000.sys | PEAUTH |
| KeRegisterBugCheckReasonCallback | 0x8fdfe82a | usbhub.sys | USBHUB |
| KeRegisterBugCheckReasonCallback | 0x8fdfe7d5 | usbhub.sys | USBHUB |
| KeRegisterBugCheckReasonCallback | 0x891fb72d | Wdf01000.sys | umbus |
| KeRegisterBugCheckReasonCallback | 0x891fb72d | Wdf01000.sys | Composit |
| KeRegisterBugCheckReasonCallback | 0x8fc9fd79 | USBPORT.SYS | USBPORT |
| KeRegisterBugCheckReasonCallback | 0x8fc9fe30 | USBPORT.SYS | USBPORT |
| KeRegisterBugCheckReasonCallback | 0x8fc9fdd6 | USBPORT.SYS | USBPORT |
| KeRegisterBugCheckReasonCallback | 0x891fb72d | Wdf01000.sys | HDAudBus |
| KeRegisterBugCheckReasonCallback | 0x89aa1392 | VIDEOPRT.SYS | Videoprt |
| KeRegisterBugCheckReasonCallback | 0x897ed5f5 | mouclass.sys | mouclass |
| KeRegisterBugCheckReasonCallback | 0x897e0861 | kbdclass.sys | kbdclass |
| KeRegisterBugCheckReasonCallback | 0x897cd8d5 | i8042prt.sys | i8042prt |
| KeRegisterBugCheckReasonCallback | 0x89bf4eec | mssmbios.sys | SMBiosDa |
| KeRegisterBugCheckReasonCallback | 0x89bf4ea4 | mssmbios.sys | SMBiosRe |
| KeRegisterBugCheckReasonCallback | 0x89bf4e54 | mssmbios.sys | SMBiosRe |
| KeRegisterBugCheckReasonCallback | 0x89bf4e0c | mssmbios.sys | SMBiosDa |
| KeRegisterBugCheckReasonCallback | 0x891fb72d | Wdf01000.sys | cdrom |
| KeRegisterBugCheckReasonCallback | 0x89a6e88b | cdrom.sys | cdrom |
| KeRegisterBugCheckReasonCallback | 0x89a504ff | CLASSPNP.SYS | CLASSPNP |
| KeRegisterBugCheckReasonCallback | 0x891fb72d | Wdf01000.sys | storflt |
| KeRegisterBugCheckReasonCallback | 0x891fb72d | Wdf01000.sys | vdrvroot |
| KeRegisterBugCheckReasonCallback | 0x891fb72d | Wdf01000.sys | msisadrv |
| KeRegisterBugCheckReasonCallback | 0x891fb22a | Wdf01000.sys | Wdf01000 |
| KeRegisterBugCheckReasonCallback | 0x893682a6 | ataport.SYS | IDEP |
| Process Id | Name | SID String | SID Name |
|---|---|---|---|
| 4 | System | S-1-5-18 | Local System |
| 4 | System | S-1-5-32-544 | Administrators |
| 4 | System | S-1-1-0 | Everyone |
| 4 | System | S-1-5-11 | Authenticated Users |
| 4 | System | S-1-16-16384 | System Mandatory Level |
| 212 | smss.exe | S-1-5-18 | Local System |
| 212 | smss.exe | S-1-5-32-544 | Administrators |
| 212 | smss.exe | S-1-1-0 | Everyone |
| 212 | smss.exe | S-1-5-11 | Authenticated Users |
| 212 | smss.exe | S-1-16-16384 | System Mandatory Level |
| 288 | csrss.exe | S-1-5-18 | Local System |
| 288 | csrss.exe | S-1-5-32-544 | Administrators |
| 288 | csrss.exe | S-1-1-0 | Everyone |
| 288 | csrss.exe | S-1-5-11 | Authenticated Users |
| 288 | csrss.exe | S-1-16-16384 | System Mandatory Level |
| 324 | wininit.exe | S-1-5-18 | Local System |
| 324 | wininit.exe | S-1-5-32-544 | Administrators |
| 324 | wininit.exe | S-1-1-0 | Everyone |
| 324 | wininit.exe | S-1-5-11 | Authenticated Users |
| 324 | wininit.exe | S-1-16-16384 | System Mandatory Level |
| 336 | csrss.exe | S-1-5-18 | Local System |
| 336 | csrss.exe | S-1-5-32-544 | Administrators |
| 336 | csrss.exe | S-1-1-0 | Everyone |
| 336 | csrss.exe | S-1-5-11 | Authenticated Users |
| 336 | csrss.exe | S-1-16-16384 | System Mandatory Level |
| 376 | winlogon.exe | S-1-5-18 | Local System |
| 376 | winlogon.exe | S-1-5-32-544 | Administrators |
| 376 | winlogon.exe | S-1-1-0 | Everyone |
| 376 | winlogon.exe | S-1-5-11 | Authenticated Users |
| 376 | winlogon.exe | S-1-16-16384 | System Mandatory Level |
| 424 | services.exe | S-1-5-18 | Local System |
| 424 | services.exe | S-1-5-32-544 | Administrators |
| 424 | services.exe | S-1-1-0 | Everyone |
| 424 | services.exe | S-1-5-11 | Authenticated Users |
| 424 | services.exe | S-1-16-16384 | System Mandatory Level |
| 432 | lsass.exe | S-1-5-18 | Local System |
| 432 | lsass.exe | S-1-5-32-544 | Administrators |
| 432 | lsass.exe | S-1-1-0 | Everyone |
| 432 | lsass.exe | S-1-5-11 | Authenticated Users |
| 432 | lsass.exe | S-1-16-16384 | System Mandatory Level |
| 440 | lsm.exe | S-1-5-18 | Local System |
| 440 | lsm.exe | S-1-5-32-544 | Administrators |
| 440 | lsm.exe | S-1-1-0 | Everyone |
| 440 | lsm.exe | S-1-5-11 | Authenticated Users |
| 440 | lsm.exe | S-1-16-16384 | System Mandatory Level |
| 544 | svchost.exe | S-1-5-18 | Local System |
| 544 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 544 | svchost.exe | S-1-1-0 | Everyone |
| 544 | svchost.exe | S-1-5-32-545 | Users |
| 544 | svchost.exe | S-1-5-6 | Service |
| 544 | svchost.exe | S-1-5-11 | Authenticated Users |
| 544 | svchost.exe | S-1-5-15 | This Organization |
| 544 | svchost.exe | S-1-5-80-1601830629-990752416-3372939810-977361409-3075122917 | |
| 544 | svchost.exe | S-1-5-80-1981970923-922788642-3535304421-2999920573-318732269 | |
| 544 | svchost.exe | S-1-5-80-2343416411-2961288913-598565901-392633850-2111459193 | |
| 544 | svchost.exe | S-1-5-5-0-24436 | Logon Session |
| 544 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 544 | svchost.exe | S-1-5-32-544 | Administrators |
| 600 | VBoxService.ex | S-1-5-18 | Local System |
| 600 | VBoxService.ex | S-1-5-32-544 | Administrators |
| 600 | VBoxService.ex | S-1-1-0 | Everyone |
| 600 | VBoxService.ex | S-1-5-11 | Authenticated Users |
| 600 | VBoxService.ex | S-1-16-16384 | System Mandatory Level |
| 652 | svchost.exe | S-1-5-20 | NT Authority |
| 652 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 652 | svchost.exe | S-1-1-0 | Everyone |
| 652 | svchost.exe | S-1-5-32-545 | Users |
| 652 | svchost.exe | S-1-5-6 | Service |
| 652 | svchost.exe | S-1-5-11 | Authenticated Users |
| 652 | svchost.exe | S-1-5-15 | This Organization |
| 652 | svchost.exe | S-1-5-80-521322694-906040134-3864710659-1525148216-3451224162 | |
| 652 | svchost.exe | S-1-5-80-979556362-403687129-3954533659-2335141334-1547273080 | |
| 652 | svchost.exe | S-1-5-5-0-40746 | Logon Session |
| 652 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 704 | svchost.exe | S-1-5-19 | NT Authority |
| 704 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 704 | svchost.exe | S-1-1-0 | Everyone |
| 704 | svchost.exe | S-1-5-32-545 | Users |
| 704 | svchost.exe | S-1-5-6 | Service |
| 704 | svchost.exe | S-1-5-11 | Authenticated Users |
| 704 | svchost.exe | S-1-5-15 | This Organization |
| 704 | svchost.exe | S-1-5-80-2676549577-1911656217-2625096541-4178041876-1366760775 | |
| 704 | svchost.exe | S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582 | |
| 704 | svchost.exe | S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122 | |
| 704 | svchost.exe | S-1-5-80-2620923248-4247863784-3378508180-2659151310-2535246811 | |
| 704 | svchost.exe | S-1-5-80-172094073-716411664-54255058-185476446-2329512179 | |
| 704 | svchost.exe | S-1-5-5-0-41597 | Logon Session |
| 704 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 788 | svchost.exe | S-1-5-18 | Local System |
| 788 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 788 | svchost.exe | S-1-1-0 | Everyone |
| 788 | svchost.exe | S-1-5-32-545 | Users |
| 788 | svchost.exe | S-1-5-6 | Service |
| 788 | svchost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 788 | svchost.exe | S-1-5-11 | Authenticated Users |
| 788 | svchost.exe | S-1-5-15 | This Organization |
| 788 | svchost.exe | S-1-5-80-1580948945-3239616721-2529237571-3761093093-1214243633 | |
| 788 | svchost.exe | S-1-5-80-3787436395-2174616005-3003730137-1094982900-1570567328 | |
| 788 | svchost.exe | S-1-5-80-89818136-74175777-88572358-3912780041-2421659406 | |
| 788 | svchost.exe | S-1-5-80-4028305664-2774326660-44957573-2454826285-2129126537 | |
| 788 | svchost.exe | S-1-5-80-2506443892-94066030-1663014834-2885971264-4189966690 | |
| 788 | svchost.exe | S-1-5-80-2898649604-2335086160-1904548223-3761738420-3855444835 | |
| 788 | svchost.exe | S-1-5-80-1948712186-1330865447-943413596-1669284603-1648638051 | |
| 788 | svchost.exe | S-1-5-80-768763963-4214222998-2156221936-2953597973-713500239 | |
| 788 | svchost.exe | S-1-5-80-2815190569-4075358141-1041947382-2198045348-980246365 | |
| 788 | svchost.exe | S-1-5-80-1428027539-3309602793-2678353003-1498846795-3763184142 | |
| 788 | svchost.exe | S-1-5-80-113310567-2163499630-2787090463-221477905-209227094 | |
| 788 | svchost.exe | S-1-5-80-2652678385-582572993-1835434367-1344795993-749280709 | |
| 788 | svchost.exe | S-1-5-5-0-42823 | Logon Session |
| 788 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 788 | svchost.exe | S-1-5-32-544 | Administrators |
| 816 | svchost.exe | S-1-5-18 | Local System |
| 816 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 816 | svchost.exe | S-1-1-0 | Everyone |
| 816 | svchost.exe | S-1-5-32-545 | Users |
| 816 | svchost.exe | S-1-5-6 | Service |
| 816 | svchost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 816 | svchost.exe | S-1-5-11 | Authenticated Users |
| 816 | svchost.exe | S-1-5-15 | This Organization |
| 816 | svchost.exe | S-1-5-80-864916184-135290571-3087830041-1716922880-4237303741 | |
| 816 | svchost.exe | S-1-5-80-3256172449-2363790065-3617575471-4144056108-756904704 | |
| 816 | svchost.exe | S-1-5-80-3578261754-285310837-913589462-2834155770-667502746 | |
| 816 | svchost.exe | S-1-5-80-1373701630-3910968185-3388013410-2492353-937432973 | |
| 816 | svchost.exe | S-1-5-80-698886940-375981264-2691324669-2937073286-3841916615 | |
| 816 | svchost.exe | S-1-5-80-62724632-2456781206-3863850748-1496050881-1042387526 | |
| 816 | svchost.exe | S-1-5-80-879696042-2351668846-370232824-2524288904-4023536711 | |
| 816 | svchost.exe | S-1-5-80-2799810402-4136494038-1094338311-2889966999-3154753985 | |
| 816 | svchost.exe | S-1-5-80-917953661-2020045820-2727011118-2260243830-4032185929 | |
| 816 | svchost.exe | S-1-5-80-1802467488-1541022566-2033325545-854566965-652742428 | |
| 816 | svchost.exe | S-1-5-80-4176366874-305252471-2256717057-2714189771-3552532790 | |
| 816 | svchost.exe | S-1-5-80-4125092361-1567024937-842823819-2091237918-836075745 | |
| 816 | svchost.exe | S-1-5-80-1691538513-4084330536-1620899472-1113280783-3554754292 | |
| 816 | svchost.exe | S-1-5-80-4259241309-1822918763-1176128033-1339750638-3428293995 | |
| 816 | svchost.exe | S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 | |
| 816 | svchost.exe | S-1-5-80-1690854464-3758363787-3981977099-3843555589-1401248062 | |
| 816 | svchost.exe | S-1-5-80-3750560858-172214265-3889451188-1914796615-4100997547 | |
| 816 | svchost.exe | S-1-5-80-1014140700-3308905587-3330345912-272242898-93311788 | |
| 816 | svchost.exe | S-1-5-5-0-43310 | Logon Session |
| 816 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 816 | svchost.exe | S-1-5-32-544 | Administrators |
| 904 | audiodg.exe | S-1-5-19 | NT Authority |
| 904 | audiodg.exe | S-1-16-16384 | System Mandatory Level |
| 904 | audiodg.exe | S-1-1-0 | Everyone |
| 904 | audiodg.exe | S-1-5-32-545 | Users |
| 904 | audiodg.exe | S-1-5-6 | Service |
| 904 | audiodg.exe | S-1-5-11 | Authenticated Users |
| 904 | audiodg.exe | S-1-5-15 | This Organization |
| 904 | audiodg.exe | S-1-5-80-2676549577-1911656217-2625096541-4178041876-1366760775 | |
| 904 | audiodg.exe | S-1-5-80-2940520708-3855866260-481812779-327648279-1710889582 | |
| 904 | audiodg.exe | S-1-5-80-880578595-1860270145-482643319-2788375705-1540778122 | |
| 904 | audiodg.exe | S-1-5-80-2620923248-4247863784-3378508180-2659151310-2535246811 | |
| 904 | audiodg.exe | S-1-5-80-172094073-716411664-54255058-185476446-2329512179 | |
| 904 | audiodg.exe | S-1-5-5-0-41597 | Logon Session |
| 904 | audiodg.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 980 | svchost.exe | S-1-5-19 | NT Authority |
| 980 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 980 | svchost.exe | S-1-1-0 | Everyone |
| 980 | svchost.exe | S-1-5-32-545 | Users |
| 980 | svchost.exe | S-1-5-6 | Service |
| 980 | svchost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 980 | svchost.exe | S-1-5-11 | Authenticated Users |
| 980 | svchost.exe | S-1-5-15 | This Organization |
| 980 | svchost.exe | S-1-5-80-1772571935-1555666882-3369284645-1675012128-2386634627 | |
| 980 | svchost.exe | S-1-5-80-364023826-931424190-487969545-1024119571-74567675 | |
| 980 | svchost.exe | S-1-5-80-940647296-341435850-43817331-158078607-2483727905 | |
| 980 | svchost.exe | S-1-5-80-3635958274-2059881490-2225992882-984577281-633327304 | |
| 980 | svchost.exe | S-1-5-80-2310782386-4237065203-3688974353-390202159-3511571085 | |
| 980 | svchost.exe | S-1-5-80-2105443381-1869407242-828286827-1344996006-2512971347 | |
| 980 | svchost.exe | S-1-5-80-3435701886-799518250-3791383489-3228296122-2938884314 | |
| 980 | svchost.exe | S-1-5-80-56840347-690487168-3179794702-1332568925-762031181 | |
| 980 | svchost.exe | S-1-5-80-4267341169-2882910712-659946508-2704364837-2204554466 | |
| 980 | svchost.exe | S-1-5-80-324959683-3395802011-921526492-919036580-1730255754 | |
| 980 | svchost.exe | S-1-5-80-2455429942-3131183193-3617688776-595395669-3772047725 | |
| 980 | svchost.exe | S-1-5-5-0-50130 | Guest |
| 980 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1112 | svchost.exe | S-1-5-19 | NT Authority |
| 1112 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 1112 | svchost.exe | S-1-1-0 | Everyone |
| 1112 | svchost.exe | S-1-5-32-545 | Users |
| 1112 | svchost.exe | S-1-5-6 | Service |
| 1112 | svchost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1112 | svchost.exe | S-1-5-11 | Authenticated Users |
| 1112 | svchost.exe | S-1-5-15 | This Organization |
| 1112 | svchost.exe | S-1-5-80-1383147646-27650227-2710666058-1662982300-1023958487 | |
| 1112 | svchost.exe | S-1-5-80-3088073201-1464728630-1879813800-1107566885-823218052 | |
| 1112 | svchost.exe | S-1-5-80-3981856537-581775623-1136376035-2066872258-409572886 | |
| 1112 | svchost.exe | S-1-5-5-0-55364 | Logon Session |
| 1112 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1112 | svchost.exe | S-1-5-33 | Write Restricted |
| 1152 | svchost.exe | S-1-5-20 | NT Authority |
| 1152 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 1152 | svchost.exe | S-1-1-0 | Everyone |
| 1152 | svchost.exe | S-1-5-32-545 | Users |
| 1152 | svchost.exe | S-1-5-6 | Service |
| 1152 | svchost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1152 | svchost.exe | S-1-5-11 | Authenticated Users |
| 1152 | svchost.exe | S-1-5-15 | This Organization |
| 1152 | svchost.exe | S-1-5-80-242729624-280608522-2219052887-3187409060-2225943459 | |
| 1152 | svchost.exe | S-1-5-80-859482183-879914841-863379149-1145462774-2388618682 | |
| 1152 | svchost.exe | S-1-5-80-719998295-2833700043-1566817583-4093942769-1414026312 | |
| 1152 | svchost.exe | S-1-5-80-2006800713-1441093265-249754844-3404434343-1444102779 | |
| 1152 | svchost.exe | S-1-5-80-3141615172-2057878085-1754447212-2405740020-3916490453 | |
| 1152 | svchost.exe | S-1-5-80-4230913304-2206818457-801678004-120036174-1892434133 | |
| 1152 | svchost.exe | S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517 | |
| 1152 | svchost.exe | S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970 | |
| 1152 | svchost.exe | S-1-5-5-0-59040 | Logon Session |
| 1152 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1448 | dwm.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1448 | dwm.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1448 | dwm.exe | S-1-1-0 | Everyone |
| 1448 | dwm.exe | S-1-5-32-544 | Administrators |
| 1448 | dwm.exe | S-1-5-32-545 | Users |
| 1448 | dwm.exe | S-1-5-4 | Interactive |
| 1448 | dwm.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1448 | dwm.exe | S-1-5-11 | Authenticated Users |
| 1448 | dwm.exe | S-1-5-15 | This Organization |
| 1448 | dwm.exe | S-1-5-5-0-55004 | Logon Session |
| 1448 | dwm.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1448 | dwm.exe | S-1-5-64-10 | NTLM Authentication |
| 1448 | dwm.exe | S-1-16-12288 | High Mandatory Level |
| 1460 | explorer.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1460 | explorer.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1460 | explorer.exe | S-1-1-0 | Everyone |
| 1460 | explorer.exe | S-1-5-32-544 | Administrators |
| 1460 | explorer.exe | S-1-5-32-545 | Users |
| 1460 | explorer.exe | S-1-5-4 | Interactive |
| 1460 | explorer.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1460 | explorer.exe | S-1-5-11 | Authenticated Users |
| 1460 | explorer.exe | S-1-5-15 | This Organization |
| 1460 | explorer.exe | S-1-5-5-0-55004 | Logon Session |
| 1460 | explorer.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1460 | explorer.exe | S-1-5-64-10 | NTLM Authentication |
| 1460 | explorer.exe | S-1-16-12288 | High Mandatory Level |
| 1492 | taskhost.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1492 | taskhost.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1492 | taskhost.exe | S-1-1-0 | Everyone |
| 1492 | taskhost.exe | S-1-5-32-544 | Administrators |
| 1492 | taskhost.exe | S-1-5-32-545 | Users |
| 1492 | taskhost.exe | S-1-5-4 | Interactive |
| 1492 | taskhost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1492 | taskhost.exe | S-1-5-11 | Authenticated Users |
| 1492 | taskhost.exe | S-1-5-15 | This Organization |
| 1492 | taskhost.exe | S-1-5-5-0-55004 | Logon Session |
| 1492 | taskhost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1492 | taskhost.exe | S-1-5-64-10 | NTLM Authentication |
| 1492 | taskhost.exe | S-1-16-12288 | High Mandatory Level |
| 1640 | Everything.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1640 | Everything.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1640 | Everything.exe | S-1-1-0 | Everyone |
| 1640 | Everything.exe | S-1-5-32-544 | Administrators |
| 1640 | Everything.exe | S-1-5-32-545 | Users |
| 1640 | Everything.exe | S-1-5-4 | Interactive |
| 1640 | Everything.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1640 | Everything.exe | S-1-5-11 | Authenticated Users |
| 1640 | Everything.exe | S-1-5-15 | This Organization |
| 1640 | Everything.exe | S-1-5-5-0-55004 | Logon Session |
| 1640 | Everything.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1640 | Everything.exe | S-1-5-64-10 | NTLM Authentication |
| 1640 | Everything.exe | S-1-16-12288 | High Mandatory Level |
| 1648 | VBoxTray.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1648 | VBoxTray.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1648 | VBoxTray.exe | S-1-1-0 | Everyone |
| 1648 | VBoxTray.exe | S-1-5-32-544 | Administrators |
| 1648 | VBoxTray.exe | S-1-5-32-545 | Users |
| 1648 | VBoxTray.exe | S-1-5-4 | Interactive |
| 1648 | VBoxTray.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1648 | VBoxTray.exe | S-1-5-11 | Authenticated Users |
| 1648 | VBoxTray.exe | S-1-5-15 | This Organization |
| 1648 | VBoxTray.exe | S-1-5-5-0-55004 | Logon Session |
| 1648 | VBoxTray.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1648 | VBoxTray.exe | S-1-5-64-10 | NTLM Authentication |
| 1648 | VBoxTray.exe | S-1-16-12288 | High Mandatory Level |
| 1704 | python.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1704 | python.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1704 | python.exe | S-1-1-0 | Everyone |
| 1704 | python.exe | S-1-5-32-544 | Administrators |
| 1704 | python.exe | S-1-5-32-545 | Users |
| 1704 | python.exe | S-1-5-4 | Interactive |
| 1704 | python.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1704 | python.exe | S-1-5-11 | Authenticated Users |
| 1704 | python.exe | S-1-5-15 | This Organization |
| 1704 | python.exe | S-1-5-5-0-55004 | Logon Session |
| 1704 | python.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1704 | python.exe | S-1-5-64-10 | NTLM Authentication |
| 1704 | python.exe | S-1-16-12288 | High Mandatory Level |
| 1768 | conhost.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1768 | conhost.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1768 | conhost.exe | S-1-1-0 | Everyone |
| 1768 | conhost.exe | S-1-5-32-544 | Administrators |
| 1768 | conhost.exe | S-1-5-32-545 | Users |
| 1768 | conhost.exe | S-1-5-4 | Interactive |
| 1768 | conhost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1768 | conhost.exe | S-1-5-11 | Authenticated Users |
| 1768 | conhost.exe | S-1-5-15 | This Organization |
| 1768 | conhost.exe | S-1-5-5-0-55004 | Logon Session |
| 1768 | conhost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1768 | conhost.exe | S-1-5-64-10 | NTLM Authentication |
| 1768 | conhost.exe | S-1-16-12288 | High Mandatory Level |
| 1900 | svchost.exe | S-1-5-19 | NT Authority |
| 1900 | svchost.exe | S-1-16-16384 | System Mandatory Level |
| 1900 | svchost.exe | S-1-1-0 | Everyone |
| 1900 | svchost.exe | S-1-5-32-545 | Users |
| 1900 | svchost.exe | S-1-5-6 | Service |
| 1900 | svchost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1900 | svchost.exe | S-1-5-11 | Authenticated Users |
| 1900 | svchost.exe | S-1-5-15 | This Organization |
| 1900 | svchost.exe | S-1-5-80-2078495744-2416903469-4072184685-3943858305-976987417 | |
| 1900 | svchost.exe | S-1-5-80-3215268152-2863950836-530904203-4246843131-2183915461 | |
| 1900 | svchost.exe | S-1-5-80-3655275221-2954682349-3644260495-855223267-1438849333 | |
| 1900 | svchost.exe | S-1-5-80-1659118645-3148100556-861291880-3953320898-4045657812 | |
| 1900 | svchost.exe | S-1-5-80-1209419826-1829913269-3824447628-1153237837-3789837839 | |
| 1900 | svchost.exe | S-1-5-80-3168472476-176724102-2968832672-2340942973-2241613192 | |
| 1900 | svchost.exe | S-1-5-80-486568272-975562994-1883531608-2732234258-332540751 | |
| 1900 | svchost.exe | S-1-5-80-448846144-1414373772-1578130625-718576682-2306699751 | |
| 1900 | svchost.exe | S-1-5-80-1555863574-1012459212-3842453055-37978308-1142448422 | |
| 1900 | svchost.exe | S-1-5-5-0-163246 | Logon Session |
| 1900 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1016 | firefox.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1016 | firefox.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1016 | firefox.exe | S-1-1-0 | Everyone |
| 1016 | firefox.exe | S-1-5-32-544 | Administrators |
| 1016 | firefox.exe | S-1-5-32-545 | Users |
| 1016 | firefox.exe | S-1-5-4 | Interactive |
| 1016 | firefox.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1016 | firefox.exe | S-1-5-11 | Authenticated Users |
| 1016 | firefox.exe | S-1-5-15 | This Organization |
| 1016 | firefox.exe | S-1-5-5-0-55004 | Logon Session |
| 1016 | firefox.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1016 | firefox.exe | S-1-5-64-10 | NTLM Authentication |
| 1016 | firefox.exe | S-1-16-12288 | High Mandatory Level |
| 1744 | plugin-contain | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 1744 | plugin-contain | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 1744 | plugin-contain | S-1-1-0 | Everyone |
| 1744 | plugin-contain | S-1-5-32-544 | Administrators |
| 1744 | plugin-contain | S-1-5-32-545 | Users |
| 1744 | plugin-contain | S-1-5-4 | Interactive |
| 1744 | plugin-contain | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1744 | plugin-contain | S-1-5-11 | Authenticated Users |
| 1744 | plugin-contain | S-1-5-15 | This Organization |
| 1744 | plugin-contain | S-1-5-5-0-55004 | Logon Session |
| 1744 | plugin-contain | S-1-2-0 | Local (Users with the ability to log in locally) |
| 1744 | plugin-contain | S-1-5-64-10 | NTLM Authentication |
| 1744 | plugin-contain | S-1-16-8192 | Medium Mandatory Level |
| 3064 | Steam.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 3064 | Steam.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 3064 | Steam.exe | S-1-1-0 | Everyone |
| 3064 | Steam.exe | S-1-5-32-544 | Administrators |
| 3064 | Steam.exe | S-1-5-32-545 | Users |
| 3064 | Steam.exe | S-1-5-4 | Interactive |
| 3064 | Steam.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 3064 | Steam.exe | S-1-5-11 | Authenticated Users |
| 3064 | Steam.exe | S-1-5-15 | This Organization |
| 3064 | Steam.exe | S-1-5-5-0-55004 | Logon Session |
| 3064 | Steam.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 3064 | Steam.exe | S-1-5-64-10 | NTLM Authentication |
| 3064 | Steam.exe | S-1-16-12288 | High Mandatory Level |
| 3108 | steamwebhelper | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 3108 | steamwebhelper | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 3108 | steamwebhelper | S-1-1-0 | Everyone |
| 3108 | steamwebhelper | S-1-5-32-544 | Administrators |
| 3108 | steamwebhelper | S-1-5-32-545 | Users |
| 3108 | steamwebhelper | S-1-5-4 | Interactive |
| 3108 | steamwebhelper | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 3108 | steamwebhelper | S-1-5-11 | Authenticated Users |
| 3108 | steamwebhelper | S-1-5-15 | This Organization |
| 3108 | steamwebhelper | S-1-5-5-0-55004 | Logon Session |
| 3108 | steamwebhelper | S-1-2-0 | Local (Users with the ability to log in locally) |
| 3108 | steamwebhelper | S-1-5-64-10 | NTLM Authentication |
| 3108 | steamwebhelper | S-1-16-12288 | High Mandatory Level |
| 3896 | steamwebhelper | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 3896 | steamwebhelper | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 3896 | steamwebhelper | S-1-1-0 | Everyone |
| 3896 | steamwebhelper | S-1-5-32-544 | Administrators |
| 3896 | steamwebhelper | S-1-5-32-545 | Users |
| 3896 | steamwebhelper | S-1-5-4 | Interactive |
| 3896 | steamwebhelper | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 3896 | steamwebhelper | S-1-5-11 | Authenticated Users |
| 3896 | steamwebhelper | S-1-5-15 | This Organization |
| 3896 | steamwebhelper | S-1-5-5-0-55004 | Logon Session |
| 3896 | steamwebhelper | S-1-2-0 | Local (Users with the ability to log in locally) |
| 3896 | steamwebhelper | S-1-5-64-10 | NTLM Authentication |
| 3896 | steamwebhelper | S-1-16-12288 | High Mandatory Level |
| 2108 | steamwebhelper | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 2108 | steamwebhelper | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 2108 | steamwebhelper | S-1-1-0 | Everyone |
| 2108 | steamwebhelper | S-1-5-32-544 | Administrators |
| 2108 | steamwebhelper | S-1-5-32-545 | Users |
| 2108 | steamwebhelper | S-1-5-4 | Interactive |
| 2108 | steamwebhelper | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 2108 | steamwebhelper | S-1-5-11 | Authenticated Users |
| 2108 | steamwebhelper | S-1-5-15 | This Organization |
| 2108 | steamwebhelper | S-1-5-5-0-55004 | Logon Session |
| 2108 | steamwebhelper | S-1-2-0 | Local (Users with the ability to log in locally) |
| 2108 | steamwebhelper | S-1-5-64-10 | NTLM Authentication |
| 2108 | steamwebhelper | S-1-16-12288 | High Mandatory Level |
| 2152 | python.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 2152 | python.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 2152 | python.exe | S-1-1-0 | Everyone |
| 2152 | python.exe | S-1-5-32-544 | Administrators |
| 2152 | python.exe | S-1-5-32-545 | Users |
| 2152 | python.exe | S-1-5-4 | Interactive |
| 2152 | python.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 2152 | python.exe | S-1-5-11 | Authenticated Users |
| 2152 | python.exe | S-1-5-15 | This Organization |
| 2152 | python.exe | S-1-5-5-0-55004 | Logon Session |
| 2152 | python.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 2152 | python.exe | S-1-5-64-10 | NTLM Authentication |
| 2152 | python.exe | S-1-16-12288 | High Mandatory Level |
| 2776 | svchost.exe | S-1-5-21-4043008248-2851492338-1992526481-500 | Administrator |
| 2776 | svchost.exe | S-1-5-21-4043008248-2851492338-1992526481-513 | Domain Users |
| 2776 | svchost.exe | S-1-1-0 | Everyone |
| 2776 | svchost.exe | S-1-5-32-544 | Administrators |
| 2776 | svchost.exe | S-1-5-32-545 | Users |
| 2776 | svchost.exe | S-1-5-4 | Interactive |
| 2776 | svchost.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 2776 | svchost.exe | S-1-5-11 | Authenticated Users |
| 2776 | svchost.exe | S-1-5-15 | This Organization |
| 2776 | svchost.exe | S-1-5-5-0-55004 | Logon Session |
| 2776 | svchost.exe | S-1-2-0 | Local (Users with the ability to log in locally) |
| 2776 | svchost.exe | S-1-5-64-10 | NTLM Authentication |
| 2776 | svchost.exe | S-1-16-12288 | High Mandatory Level |
| 1948 | WmiPrvSE.exe | S-1-5-20 | NT Authority |
| 1948 | WmiPrvSE.exe | S-1-16-16384 | System Mandatory Level |
| 1948 | WmiPrvSE.exe | S-1-1-0 | Everyone |
| 1948 | WmiPrvSE.exe | S-1-5-32-545 | Users |
| 1948 | WmiPrvSE.exe | S-1-5-6 | Service |
| 1948 | WmiPrvSE.exe | S-1-2-1 | Console Logon (Users who are logged onto the physical console) |
| 1948 | WmiPrvSE.exe | S-1-5-11 | Authenticated Users |
| 1948 | WmiPrvSE.exe | S-1-5-15 | This Organization |
| 1948 | WmiPrvSE.exe | S-1-5-86-615999462-62705297-2911207457-59056572-3668589837 | WMI (Network Service) |
| 1948 | WmiPrvSE.exe | S-1-5-5-0-468132 | Logon Session |
| Process Id | Name | Value | Privilege | Attributes | Description |
|---|---|---|---|---|---|
| 4 | System | 2 | SeCreateTokenPrivilege | Present | Create a token object |
| 4 | System | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 4 | System | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 4 | System | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 4 | System | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 4 | System | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 4 | System | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 4 | System | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 4 | System | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 4 | System | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 4 | System | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 4 | System | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 4 | System | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 4 | System | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 4 | System | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 4 | System | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 4 | System | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 4 | System | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 4 | System | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 4 | System | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 4 | System | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 4 | System | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 4 | System | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 4 | System | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 4 | System | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 4 | System | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 4 | System | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 4 | System | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 4 | System | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 4 | System | 31 | SeTrustedCredManAccessPrivilege | Present | Access Credential Manager as a trusted caller |
| 4 | System | 32 | SeRelabelPrivilege | Present | Modify the mandatory integrity level of an object |
| 4 | System | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 4 | System | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 4 | System | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 212 | smss.exe | 2 | SeCreateTokenPrivilege | Present | Create a token object |
| 212 | smss.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 212 | smss.exe | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 212 | smss.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 212 | smss.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 212 | smss.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 212 | smss.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 212 | smss.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 212 | smss.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 212 | smss.exe | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 212 | smss.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 212 | smss.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 212 | smss.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 212 | smss.exe | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 212 | smss.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 212 | smss.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 212 | smss.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 212 | smss.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 212 | smss.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 212 | smss.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 212 | smss.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 212 | smss.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 212 | smss.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 212 | smss.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 212 | smss.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 212 | smss.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 212 | smss.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 212 | smss.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 212 | smss.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 212 | smss.exe | 31 | SeTrustedCredManAccessPrivilege | Present | Access Credential Manager as a trusted caller |
| 212 | smss.exe | 32 | SeRelabelPrivilege | Present | Modify the mandatory integrity level of an object |
| 212 | smss.exe | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 212 | smss.exe | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 212 | smss.exe | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 288 | csrss.exe | 2 | SeCreateTokenPrivilege | Present | Create a token object |
| 288 | csrss.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 288 | csrss.exe | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 288 | csrss.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 288 | csrss.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 288 | csrss.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 288 | csrss.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 288 | csrss.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 288 | csrss.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 288 | csrss.exe | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 288 | csrss.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 288 | csrss.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 288 | csrss.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 288 | csrss.exe | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 288 | csrss.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 288 | csrss.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 288 | csrss.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 288 | csrss.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 288 | csrss.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 288 | csrss.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 288 | csrss.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 288 | csrss.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 288 | csrss.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 288 | csrss.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 288 | csrss.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 288 | csrss.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 288 | csrss.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 288 | csrss.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 288 | csrss.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 288 | csrss.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 288 | csrss.exe | 32 | SeRelabelPrivilege | Present | Modify the mandatory integrity level of an object |
| 288 | csrss.exe | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 288 | csrss.exe | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 288 | csrss.exe | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 324 | wininit.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 324 | wininit.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 324 | wininit.exe | 4 | SeLockMemoryPrivilege | Default | Lock pages in memory |
| 324 | wininit.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 324 | wininit.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 324 | wininit.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 324 | wininit.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 324 | wininit.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 324 | wininit.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 324 | wininit.exe | 11 | SeSystemProfilePrivilege | Default | Profile system performance |
| 324 | wininit.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 324 | wininit.exe | 13 | SeProfileSingleProcessPrivilege | Default | Profile a single process |
| 324 | wininit.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 324 | wininit.exe | 15 | SeCreatePagefilePrivilege | Default | Create a pagefile |
| 324 | wininit.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 324 | wininit.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 324 | wininit.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 324 | wininit.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 324 | wininit.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 324 | wininit.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 324 | wininit.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 324 | wininit.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 324 | wininit.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 324 | wininit.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 324 | wininit.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 324 | wininit.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 324 | wininit.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 324 | wininit.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 324 | wininit.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 324 | wininit.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 324 | wininit.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 324 | wininit.exe | 33 | SeIncreaseWorkingSetPrivilege | Default | Allocate more memory for user applications |
| 324 | wininit.exe | 34 | SeTimeZonePrivilege | Default | Adjust the time zone of the computer's internal clock |
| 324 | wininit.exe | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 336 | csrss.exe | 2 | SeCreateTokenPrivilege | Present | Create a token object |
| 336 | csrss.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 336 | csrss.exe | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 336 | csrss.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 336 | csrss.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 336 | csrss.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 336 | csrss.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 336 | csrss.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 336 | csrss.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 336 | csrss.exe | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 336 | csrss.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 336 | csrss.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 336 | csrss.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 336 | csrss.exe | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 336 | csrss.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 336 | csrss.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 336 | csrss.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 336 | csrss.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 336 | csrss.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 336 | csrss.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 336 | csrss.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 336 | csrss.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 336 | csrss.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 336 | csrss.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 336 | csrss.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 336 | csrss.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 336 | csrss.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 336 | csrss.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 336 | csrss.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 336 | csrss.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 336 | csrss.exe | 32 | SeRelabelPrivilege | Present | Modify the mandatory integrity level of an object |
| 336 | csrss.exe | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 336 | csrss.exe | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 336 | csrss.exe | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 376 | winlogon.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 376 | winlogon.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 376 | winlogon.exe | 4 | SeLockMemoryPrivilege | Default | Lock pages in memory |
| 376 | winlogon.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 376 | winlogon.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 376 | winlogon.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 376 | winlogon.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 376 | winlogon.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 376 | winlogon.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 376 | winlogon.exe | 11 | SeSystemProfilePrivilege | Default | Profile system performance |
| 376 | winlogon.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 376 | winlogon.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 376 | winlogon.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 376 | winlogon.exe | 15 | SeCreatePagefilePrivilege | Default | Create a pagefile |
| 376 | winlogon.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 376 | winlogon.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 376 | winlogon.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 376 | winlogon.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 376 | winlogon.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 376 | winlogon.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 376 | winlogon.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 376 | winlogon.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 376 | winlogon.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 376 | winlogon.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 376 | winlogon.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 376 | winlogon.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 376 | winlogon.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 376 | winlogon.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 376 | winlogon.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 376 | winlogon.exe | 31 | SeTrustedCredManAccessPrivilege | Present | Access Credential Manager as a trusted caller |
| 376 | winlogon.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 376 | winlogon.exe | 33 | SeIncreaseWorkingSetPrivilege | Default | Allocate more memory for user applications |
| 376 | winlogon.exe | 34 | SeTimeZonePrivilege | Default | Adjust the time zone of the computer's internal clock |
| 376 | winlogon.exe | 35 | SeCreateSymbolicLinkPrivilege | Default | Required to create a symbolic link |
| 424 | services.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 424 | services.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 424 | services.exe | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 424 | services.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 424 | services.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 424 | services.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 424 | services.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 424 | services.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 424 | services.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 424 | services.exe | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 424 | services.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 424 | services.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 424 | services.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 424 | services.exe | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 424 | services.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 424 | services.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 424 | services.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 424 | services.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 424 | services.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 424 | services.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 424 | services.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 424 | services.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 424 | services.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 424 | services.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 424 | services.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 424 | services.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 424 | services.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 424 | services.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 424 | services.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 424 | services.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 424 | services.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 424 | services.exe | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 424 | services.exe | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 424 | services.exe | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 432 | lsass.exe | 2 | SeCreateTokenPrivilege | Present,Enabled | Create a token object |
| 432 | lsass.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 432 | lsass.exe | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 432 | lsass.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 432 | lsass.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 432 | lsass.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 432 | lsass.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 432 | lsass.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 432 | lsass.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 432 | lsass.exe | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 432 | lsass.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 432 | lsass.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 432 | lsass.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 432 | lsass.exe | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 432 | lsass.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 432 | lsass.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 432 | lsass.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 432 | lsass.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 432 | lsass.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 432 | lsass.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 432 | lsass.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 432 | lsass.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 432 | lsass.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 432 | lsass.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 432 | lsass.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 432 | lsass.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 432 | lsass.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 432 | lsass.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 432 | lsass.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 432 | lsass.exe | 31 | SeTrustedCredManAccessPrivilege | Present | Access Credential Manager as a trusted caller |
| 432 | lsass.exe | 32 | SeRelabelPrivilege | Present | Modify the mandatory integrity level of an object |
| 432 | lsass.exe | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 432 | lsass.exe | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 432 | lsass.exe | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 440 | lsm.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 440 | lsm.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 440 | lsm.exe | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 440 | lsm.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 440 | lsm.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 440 | lsm.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 440 | lsm.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 440 | lsm.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 440 | lsm.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 440 | lsm.exe | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 440 | lsm.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 440 | lsm.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 440 | lsm.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 440 | lsm.exe | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 440 | lsm.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 440 | lsm.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 440 | lsm.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 440 | lsm.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 440 | lsm.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 440 | lsm.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 440 | lsm.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 440 | lsm.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 440 | lsm.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 440 | lsm.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 440 | lsm.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 440 | lsm.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 440 | lsm.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 440 | lsm.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 440 | lsm.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 440 | lsm.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 440 | lsm.exe | 32 | SeRelabelPrivilege | Present | Modify the mandatory integrity level of an object |
| 440 | lsm.exe | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 440 | lsm.exe | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 440 | lsm.exe | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 544 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 544 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 544 | svchost.exe | 4 | SeLockMemoryPrivilege | Default | Lock pages in memory |
| 544 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 544 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 544 | svchost.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 544 | svchost.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 544 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 544 | svchost.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 544 | svchost.exe | 11 | SeSystemProfilePrivilege | Default | Profile system performance |
| 544 | svchost.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 544 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Default | Profile a single process |
| 544 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Default | Increase scheduling priority |
| 544 | svchost.exe | 15 | SeCreatePagefilePrivilege | Default | Create a pagefile |
| 544 | svchost.exe | 16 | SeCreatePermanentPrivilege | Default | Create permanent shared objects |
| 544 | svchost.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 544 | svchost.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 544 | svchost.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 544 | svchost.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 544 | svchost.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 544 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 544 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 544 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 544 | svchost.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 544 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 544 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 544 | svchost.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 544 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 544 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 544 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 544 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 544 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Default | Allocate more memory for user applications |
| 544 | svchost.exe | 34 | SeTimeZonePrivilege | Default | Adjust the time zone of the computer's internal clock |
| 544 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Default | Required to create a symbolic link |
| 600 | VBoxService.ex | 2 | SeCreateTokenPrivilege | Create a token object | |
| 600 | VBoxService.ex | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 600 | VBoxService.ex | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 600 | VBoxService.ex | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 600 | VBoxService.ex | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 600 | VBoxService.ex | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 600 | VBoxService.ex | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 600 | VBoxService.ex | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 600 | VBoxService.ex | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 600 | VBoxService.ex | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 600 | VBoxService.ex | 12 | SeSystemtimePrivilege | Present,Enabled | Change the system time |
| 600 | VBoxService.ex | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 600 | VBoxService.ex | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 600 | VBoxService.ex | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 600 | VBoxService.ex | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 600 | VBoxService.ex | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 600 | VBoxService.ex | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 600 | VBoxService.ex | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 600 | VBoxService.ex | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 600 | VBoxService.ex | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 600 | VBoxService.ex | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 600 | VBoxService.ex | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 600 | VBoxService.ex | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 600 | VBoxService.ex | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 600 | VBoxService.ex | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 600 | VBoxService.ex | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 600 | VBoxService.ex | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 600 | VBoxService.ex | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 600 | VBoxService.ex | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 600 | VBoxService.ex | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 600 | VBoxService.ex | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 600 | VBoxService.ex | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 600 | VBoxService.ex | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 600 | VBoxService.ex | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 652 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 652 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 652 | svchost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 652 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Increase quotas | |
| 652 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 652 | svchost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 652 | svchost.exe | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 652 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 652 | svchost.exe | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 652 | svchost.exe | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 652 | svchost.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 652 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 652 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 652 | svchost.exe | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 652 | svchost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 652 | svchost.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 652 | svchost.exe | 18 | SeRestorePrivilege | Restore files and directories | |
| 652 | svchost.exe | 19 | SeShutdownPrivilege | Shut down the system | |
| 652 | svchost.exe | 20 | SeDebugPrivilege | Debug programs | |
| 652 | svchost.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 652 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 652 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 652 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 652 | svchost.exe | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 652 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 652 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 652 | svchost.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 652 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 652 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 652 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 652 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 652 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Allocate more memory for user applications | |
| 652 | svchost.exe | 34 | SeTimeZonePrivilege | Adjust the time zone of the computer's internal clock | |
| 652 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link | |
| 704 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 704 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 704 | svchost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 704 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Increase quotas | |
| 704 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 704 | svchost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 704 | svchost.exe | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 704 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 704 | svchost.exe | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 704 | svchost.exe | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 704 | svchost.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 704 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 704 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 704 | svchost.exe | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 704 | svchost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 704 | svchost.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 704 | svchost.exe | 18 | SeRestorePrivilege | Restore files and directories | |
| 704 | svchost.exe | 19 | SeShutdownPrivilege | Shut down the system | |
| 704 | svchost.exe | 20 | SeDebugPrivilege | Debug programs | |
| 704 | svchost.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 704 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 704 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 704 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 704 | svchost.exe | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 704 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 704 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 704 | svchost.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 704 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 704 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 704 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 704 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 704 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 704 | svchost.exe | 34 | SeTimeZonePrivilege | Adjust the time zone of the computer's internal clock | |
| 704 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link | |
| 788 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 788 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 788 | svchost.exe | 4 | SeLockMemoryPrivilege | Default | Lock pages in memory |
| 788 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 788 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 788 | svchost.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 788 | svchost.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 788 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 788 | svchost.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 788 | svchost.exe | 11 | SeSystemProfilePrivilege | Default | Profile system performance |
| 788 | svchost.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 788 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 788 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 788 | svchost.exe | 15 | SeCreatePagefilePrivilege | Default | Create a pagefile |
| 788 | svchost.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 788 | svchost.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 788 | svchost.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 788 | svchost.exe | 19 | SeShutdownPrivilege | Shut down the system | |
| 788 | svchost.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 788 | svchost.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 788 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 788 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 788 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 788 | svchost.exe | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 788 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 788 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 788 | svchost.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 788 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 788 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 788 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 788 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 788 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Default | Allocate more memory for user applications |
| 788 | svchost.exe | 34 | SeTimeZonePrivilege | Default | Adjust the time zone of the computer's internal clock |
| 788 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Default | Required to create a symbolic link |
| 816 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 816 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 816 | svchost.exe | 4 | SeLockMemoryPrivilege | Present,Enabled,Default | Lock pages in memory |
| 816 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 816 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 816 | svchost.exe | 7 | SeTcbPrivilege | Present,Enabled,Default | Act as part of the operating system |
| 816 | svchost.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 816 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 816 | svchost.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 816 | svchost.exe | 11 | SeSystemProfilePrivilege | Present,Enabled,Default | Profile system performance |
| 816 | svchost.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 816 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Present,Enabled,Default | Profile a single process |
| 816 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Present,Enabled,Default | Increase scheduling priority |
| 816 | svchost.exe | 15 | SeCreatePagefilePrivilege | Present,Enabled,Default | Create a pagefile |
| 816 | svchost.exe | 16 | SeCreatePermanentPrivilege | Present,Enabled,Default | Create permanent shared objects |
| 816 | svchost.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 816 | svchost.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 816 | svchost.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 816 | svchost.exe | 20 | SeDebugPrivilege | Present,Enabled,Default | Debug programs |
| 816 | svchost.exe | 21 | SeAuditPrivilege | Present,Enabled,Default | Generate security audits |
| 816 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 816 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 816 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 816 | svchost.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 816 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 816 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 816 | svchost.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 816 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 816 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 816 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 816 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 816 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Present,Enabled,Default | Allocate more memory for user applications |
| 816 | svchost.exe | 34 | SeTimeZonePrivilege | Present,Enabled,Default | Adjust the time zone of the computer's internal clock |
| 816 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Present,Enabled,Default | Required to create a symbolic link |
| 904 | audiodg.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 904 | audiodg.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 904 | audiodg.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 904 | audiodg.exe | 5 | SeIncreaseQuotaPrivilege | Increase quotas | |
| 904 | audiodg.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 904 | audiodg.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 904 | audiodg.exe | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 904 | audiodg.exe | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 904 | audiodg.exe | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 904 | audiodg.exe | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 904 | audiodg.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 904 | audiodg.exe | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 904 | audiodg.exe | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 904 | audiodg.exe | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 904 | audiodg.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 904 | audiodg.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 904 | audiodg.exe | 18 | SeRestorePrivilege | Restore files and directories | |
| 904 | audiodg.exe | 19 | SeShutdownPrivilege | Shut down the system | |
| 904 | audiodg.exe | 20 | SeDebugPrivilege | Debug programs | |
| 904 | audiodg.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 904 | audiodg.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 904 | audiodg.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 904 | audiodg.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 904 | audiodg.exe | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 904 | audiodg.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 904 | audiodg.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 904 | audiodg.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 904 | audiodg.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 904 | audiodg.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 904 | audiodg.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 904 | audiodg.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 904 | audiodg.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 904 | audiodg.exe | 34 | SeTimeZonePrivilege | Adjust the time zone of the computer's internal clock | |
| 904 | audiodg.exe | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link | |
| 980 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 980 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 980 | svchost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 980 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Increase quotas | |
| 980 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 980 | svchost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 980 | svchost.exe | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 980 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 980 | svchost.exe | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 980 | svchost.exe | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 980 | svchost.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 980 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 980 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 980 | svchost.exe | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 980 | svchost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 980 | svchost.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 980 | svchost.exe | 18 | SeRestorePrivilege | Restore files and directories | |
| 980 | svchost.exe | 19 | SeShutdownPrivilege | Shut down the system | |
| 980 | svchost.exe | 20 | SeDebugPrivilege | Debug programs | |
| 980 | svchost.exe | 21 | SeAuditPrivilege | Present,Enabled | Generate security audits |
| 980 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 980 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 980 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 980 | svchost.exe | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 980 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 980 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 980 | svchost.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 980 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 980 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 980 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 980 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 980 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Allocate more memory for user applications | |
| 980 | svchost.exe | 34 | SeTimeZonePrivilege | Adjust the time zone of the computer's internal clock | |
| 980 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link | |
| 1112 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1112 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 1112 | svchost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1112 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1112 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1112 | svchost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1112 | svchost.exe | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 1112 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 1112 | svchost.exe | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 1112 | svchost.exe | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 1112 | svchost.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 1112 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 1112 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 1112 | svchost.exe | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 1112 | svchost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1112 | svchost.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 1112 | svchost.exe | 18 | SeRestorePrivilege | Restore files and directories | |
| 1112 | svchost.exe | 19 | SeShutdownPrivilege | Shut down the system | |
| 1112 | svchost.exe | 20 | SeDebugPrivilege | Debug programs | |
| 1112 | svchost.exe | 21 | SeAuditPrivilege | Present,Enabled | Generate security audits |
| 1112 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 1112 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1112 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 1112 | svchost.exe | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 1112 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1112 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1112 | svchost.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 1112 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1112 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1112 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1112 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1112 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Allocate more memory for user applications | |
| 1112 | svchost.exe | 34 | SeTimeZonePrivilege | Adjust the time zone of the computer's internal clock | |
| 1112 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link | |
| 1152 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1152 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 1152 | svchost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1152 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1152 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1152 | svchost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1152 | svchost.exe | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 1152 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 1152 | svchost.exe | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 1152 | svchost.exe | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 1152 | svchost.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 1152 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 1152 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 1152 | svchost.exe | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 1152 | svchost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1152 | svchost.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 1152 | svchost.exe | 18 | SeRestorePrivilege | Restore files and directories | |
| 1152 | svchost.exe | 19 | SeShutdownPrivilege | Shut down the system | |
| 1152 | svchost.exe | 20 | SeDebugPrivilege | Debug programs | |
| 1152 | svchost.exe | 21 | SeAuditPrivilege | Present,Enabled | Generate security audits |
| 1152 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 1152 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1152 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 1152 | svchost.exe | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 1152 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1152 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1152 | svchost.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 1152 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1152 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1152 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1152 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1152 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Allocate more memory for user applications | |
| 1152 | svchost.exe | 34 | SeTimeZonePrivilege | Adjust the time zone of the computer's internal clock | |
| 1152 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link | |
| 1448 | dwm.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1448 | dwm.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1448 | dwm.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1448 | dwm.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1448 | dwm.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1448 | dwm.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1448 | dwm.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 1448 | dwm.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 1448 | dwm.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 1448 | dwm.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 1448 | dwm.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 1448 | dwm.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 1448 | dwm.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 1448 | dwm.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 1448 | dwm.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1448 | dwm.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 1448 | dwm.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 1448 | dwm.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1448 | dwm.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 1448 | dwm.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 1448 | dwm.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 1448 | dwm.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1448 | dwm.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 1448 | dwm.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1448 | dwm.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1448 | dwm.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1448 | dwm.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 1448 | dwm.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1448 | dwm.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1448 | dwm.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1448 | dwm.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1448 | dwm.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1448 | dwm.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1448 | dwm.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1460 | explorer.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1460 | explorer.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1460 | explorer.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1460 | explorer.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1460 | explorer.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1460 | explorer.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1460 | explorer.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 1460 | explorer.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 1460 | explorer.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 1460 | explorer.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 1460 | explorer.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 1460 | explorer.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 1460 | explorer.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 1460 | explorer.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 1460 | explorer.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1460 | explorer.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 1460 | explorer.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 1460 | explorer.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1460 | explorer.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 1460 | explorer.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 1460 | explorer.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 1460 | explorer.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1460 | explorer.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 1460 | explorer.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1460 | explorer.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1460 | explorer.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1460 | explorer.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 1460 | explorer.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1460 | explorer.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1460 | explorer.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1460 | explorer.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1460 | explorer.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1460 | explorer.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1460 | explorer.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1492 | taskhost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1492 | taskhost.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1492 | taskhost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1492 | taskhost.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1492 | taskhost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1492 | taskhost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1492 | taskhost.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 1492 | taskhost.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 1492 | taskhost.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 1492 | taskhost.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 1492 | taskhost.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 1492 | taskhost.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 1492 | taskhost.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 1492 | taskhost.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 1492 | taskhost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1492 | taskhost.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 1492 | taskhost.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 1492 | taskhost.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1492 | taskhost.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 1492 | taskhost.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 1492 | taskhost.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 1492 | taskhost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1492 | taskhost.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 1492 | taskhost.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1492 | taskhost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1492 | taskhost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1492 | taskhost.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 1492 | taskhost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1492 | taskhost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1492 | taskhost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1492 | taskhost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1492 | taskhost.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1492 | taskhost.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1492 | taskhost.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1640 | Everything.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1640 | Everything.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1640 | Everything.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1640 | Everything.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1640 | Everything.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1640 | Everything.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1640 | Everything.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 1640 | Everything.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 1640 | Everything.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 1640 | Everything.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 1640 | Everything.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 1640 | Everything.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 1640 | Everything.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 1640 | Everything.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 1640 | Everything.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1640 | Everything.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 1640 | Everything.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 1640 | Everything.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1640 | Everything.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 1640 | Everything.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 1640 | Everything.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 1640 | Everything.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1640 | Everything.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 1640 | Everything.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1640 | Everything.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1640 | Everything.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1640 | Everything.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 1640 | Everything.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1640 | Everything.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1640 | Everything.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1640 | Everything.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1640 | Everything.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1640 | Everything.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1640 | Everything.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1648 | VBoxTray.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1648 | VBoxTray.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1648 | VBoxTray.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1648 | VBoxTray.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1648 | VBoxTray.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1648 | VBoxTray.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1648 | VBoxTray.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 1648 | VBoxTray.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 1648 | VBoxTray.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 1648 | VBoxTray.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 1648 | VBoxTray.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 1648 | VBoxTray.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 1648 | VBoxTray.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 1648 | VBoxTray.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 1648 | VBoxTray.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1648 | VBoxTray.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 1648 | VBoxTray.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 1648 | VBoxTray.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1648 | VBoxTray.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 1648 | VBoxTray.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 1648 | VBoxTray.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 1648 | VBoxTray.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1648 | VBoxTray.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 1648 | VBoxTray.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1648 | VBoxTray.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1648 | VBoxTray.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1648 | VBoxTray.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 1648 | VBoxTray.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1648 | VBoxTray.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1648 | VBoxTray.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1648 | VBoxTray.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1648 | VBoxTray.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1648 | VBoxTray.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1648 | VBoxTray.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1704 | python.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1704 | python.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1704 | python.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1704 | python.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1704 | python.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1704 | python.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1704 | python.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 1704 | python.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 1704 | python.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 1704 | python.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 1704 | python.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 1704 | python.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 1704 | python.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 1704 | python.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 1704 | python.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1704 | python.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 1704 | python.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 1704 | python.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1704 | python.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 1704 | python.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 1704 | python.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 1704 | python.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1704 | python.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 1704 | python.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1704 | python.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1704 | python.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1704 | python.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 1704 | python.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1704 | python.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1704 | python.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1704 | python.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1704 | python.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1704 | python.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1704 | python.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1768 | conhost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1768 | conhost.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1768 | conhost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1768 | conhost.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1768 | conhost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1768 | conhost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1768 | conhost.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 1768 | conhost.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 1768 | conhost.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 1768 | conhost.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 1768 | conhost.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 1768 | conhost.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 1768 | conhost.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 1768 | conhost.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 1768 | conhost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1768 | conhost.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 1768 | conhost.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 1768 | conhost.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1768 | conhost.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 1768 | conhost.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 1768 | conhost.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 1768 | conhost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1768 | conhost.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 1768 | conhost.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1768 | conhost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1768 | conhost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1768 | conhost.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 1768 | conhost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1768 | conhost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1768 | conhost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1768 | conhost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1768 | conhost.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1768 | conhost.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1768 | conhost.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1900 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1900 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1900 | svchost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1900 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Increase quotas | |
| 1900 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1900 | svchost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1900 | svchost.exe | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 1900 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 1900 | svchost.exe | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 1900 | svchost.exe | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 1900 | svchost.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 1900 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 1900 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 1900 | svchost.exe | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 1900 | svchost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1900 | svchost.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 1900 | svchost.exe | 18 | SeRestorePrivilege | Restore files and directories | |
| 1900 | svchost.exe | 19 | SeShutdownPrivilege | Shut down the system | |
| 1900 | svchost.exe | 20 | SeDebugPrivilege | Debug programs | |
| 1900 | svchost.exe | 21 | SeAuditPrivilege | Present | Generate security audits |
| 1900 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 1900 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1900 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 1900 | svchost.exe | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 1900 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1900 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1900 | svchost.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 1900 | svchost.exe | 29 | SeImpersonatePrivilege | Default | Impersonate a client after authentication |
| 1900 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1900 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1900 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1900 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Allocate more memory for user applications | |
| 1900 | svchost.exe | 34 | SeTimeZonePrivilege | Adjust the time zone of the computer's internal clock | |
| 1900 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link | |
| 1016 | firefox.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1016 | firefox.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1016 | firefox.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1016 | firefox.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1016 | firefox.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1016 | firefox.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1016 | firefox.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 1016 | firefox.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 1016 | firefox.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 1016 | firefox.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 1016 | firefox.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 1016 | firefox.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 1016 | firefox.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 1016 | firefox.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 1016 | firefox.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1016 | firefox.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 1016 | firefox.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 1016 | firefox.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1016 | firefox.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 1016 | firefox.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 1016 | firefox.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 1016 | firefox.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1016 | firefox.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 1016 | firefox.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1016 | firefox.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1016 | firefox.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1016 | firefox.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 1016 | firefox.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1016 | firefox.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1016 | firefox.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1016 | firefox.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1016 | firefox.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1016 | firefox.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1016 | firefox.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1744 | plugin-contain | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1744 | plugin-contain | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 1744 | plugin-contain | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1744 | plugin-contain | 5 | SeIncreaseQuotaPrivilege | Increase quotas | |
| 1744 | plugin-contain | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1744 | plugin-contain | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1744 | plugin-contain | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 1744 | plugin-contain | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 1744 | plugin-contain | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 1744 | plugin-contain | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 1744 | plugin-contain | 12 | SeSystemtimePrivilege | Change the system time | |
| 1744 | plugin-contain | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 1744 | plugin-contain | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 1744 | plugin-contain | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 1744 | plugin-contain | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1744 | plugin-contain | 17 | SeBackupPrivilege | Backup files and directories | |
| 1744 | plugin-contain | 18 | SeRestorePrivilege | Restore files and directories | |
| 1744 | plugin-contain | 19 | SeShutdownPrivilege | Shut down the system | |
| 1744 | plugin-contain | 20 | SeDebugPrivilege | Debug programs | |
| 1744 | plugin-contain | 21 | SeAuditPrivilege | Generate security audits | |
| 1744 | plugin-contain | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 1744 | plugin-contain | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1744 | plugin-contain | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 1744 | plugin-contain | 25 | SeUndockPrivilege | Remove computer from docking station | |
| 1744 | plugin-contain | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1744 | plugin-contain | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1744 | plugin-contain | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 1744 | plugin-contain | 29 | SeImpersonatePrivilege | Impersonate a client after authentication | |
| 1744 | plugin-contain | 30 | SeCreateGlobalPrivilege | Default | Create global objects |
| 1744 | plugin-contain | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1744 | plugin-contain | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1744 | plugin-contain | 33 | SeIncreaseWorkingSetPrivilege | Allocate more memory for user applications | |
| 1744 | plugin-contain | 34 | SeTimeZonePrivilege | Adjust the time zone of the computer's internal clock | |
| 1744 | plugin-contain | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link | |
| 3064 | Steam.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 3064 | Steam.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 3064 | Steam.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 3064 | Steam.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 3064 | Steam.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 3064 | Steam.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 3064 | Steam.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 3064 | Steam.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 3064 | Steam.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 3064 | Steam.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 3064 | Steam.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 3064 | Steam.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 3064 | Steam.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 3064 | Steam.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 3064 | Steam.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 3064 | Steam.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 3064 | Steam.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 3064 | Steam.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 3064 | Steam.exe | 20 | SeDebugPrivilege | Present | Debug programs |
| 3064 | Steam.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 3064 | Steam.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 3064 | Steam.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 3064 | Steam.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 3064 | Steam.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 3064 | Steam.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 3064 | Steam.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 3064 | Steam.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 3064 | Steam.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 3064 | Steam.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 3064 | Steam.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 3064 | Steam.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 3064 | Steam.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 3064 | Steam.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 3064 | Steam.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 3108 | steamwebhelper | 2 | SeCreateTokenPrivilege | Create a token object | |
| 3108 | steamwebhelper | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 3108 | steamwebhelper | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 3108 | steamwebhelper | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 3108 | steamwebhelper | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 3108 | steamwebhelper | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 3108 | steamwebhelper | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 3108 | steamwebhelper | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 3108 | steamwebhelper | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 3108 | steamwebhelper | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 3108 | steamwebhelper | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 3108 | steamwebhelper | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 3108 | steamwebhelper | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 3108 | steamwebhelper | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 3108 | steamwebhelper | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 3108 | steamwebhelper | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 3108 | steamwebhelper | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 3108 | steamwebhelper | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 3108 | steamwebhelper | 20 | SeDebugPrivilege | Present | Debug programs |
| 3108 | steamwebhelper | 21 | SeAuditPrivilege | Generate security audits | |
| 3108 | steamwebhelper | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 3108 | steamwebhelper | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 3108 | steamwebhelper | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 3108 | steamwebhelper | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 3108 | steamwebhelper | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 3108 | steamwebhelper | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 3108 | steamwebhelper | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 3108 | steamwebhelper | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 3108 | steamwebhelper | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 3108 | steamwebhelper | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 3108 | steamwebhelper | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 3108 | steamwebhelper | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 3108 | steamwebhelper | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 3108 | steamwebhelper | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 3896 | steamwebhelper | 2 | SeCreateTokenPrivilege | Create a token object | |
| 3896 | steamwebhelper | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 3896 | steamwebhelper | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 3896 | steamwebhelper | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 3896 | steamwebhelper | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 3896 | steamwebhelper | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 3896 | steamwebhelper | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 3896 | steamwebhelper | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 3896 | steamwebhelper | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 3896 | steamwebhelper | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 3896 | steamwebhelper | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 3896 | steamwebhelper | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 3896 | steamwebhelper | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 3896 | steamwebhelper | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 3896 | steamwebhelper | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 3896 | steamwebhelper | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 3896 | steamwebhelper | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 3896 | steamwebhelper | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 3896 | steamwebhelper | 20 | SeDebugPrivilege | Present | Debug programs |
| 3896 | steamwebhelper | 21 | SeAuditPrivilege | Generate security audits | |
| 3896 | steamwebhelper | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 3896 | steamwebhelper | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 3896 | steamwebhelper | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 3896 | steamwebhelper | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 3896 | steamwebhelper | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 3896 | steamwebhelper | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 3896 | steamwebhelper | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 3896 | steamwebhelper | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 3896 | steamwebhelper | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 3896 | steamwebhelper | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 3896 | steamwebhelper | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 3896 | steamwebhelper | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 3896 | steamwebhelper | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 3896 | steamwebhelper | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 2108 | steamwebhelper | 2 | SeCreateTokenPrivilege | Create a token object | |
| 2108 | steamwebhelper | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 2108 | steamwebhelper | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 2108 | steamwebhelper | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 2108 | steamwebhelper | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 2108 | steamwebhelper | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 2108 | steamwebhelper | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 2108 | steamwebhelper | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 2108 | steamwebhelper | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 2108 | steamwebhelper | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 2108 | steamwebhelper | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 2108 | steamwebhelper | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 2108 | steamwebhelper | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 2108 | steamwebhelper | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 2108 | steamwebhelper | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 2108 | steamwebhelper | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 2108 | steamwebhelper | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 2108 | steamwebhelper | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 2108 | steamwebhelper | 20 | SeDebugPrivilege | Present | Debug programs |
| 2108 | steamwebhelper | 21 | SeAuditPrivilege | Generate security audits | |
| 2108 | steamwebhelper | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 2108 | steamwebhelper | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 2108 | steamwebhelper | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 2108 | steamwebhelper | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 2108 | steamwebhelper | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 2108 | steamwebhelper | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 2108 | steamwebhelper | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 2108 | steamwebhelper | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 2108 | steamwebhelper | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 2108 | steamwebhelper | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 2108 | steamwebhelper | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 2108 | steamwebhelper | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 2108 | steamwebhelper | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 2108 | steamwebhelper | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 2152 | python.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 2152 | python.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 2152 | python.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 2152 | python.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 2152 | python.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 2152 | python.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 2152 | python.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 2152 | python.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 2152 | python.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 2152 | python.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 2152 | python.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 2152 | python.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 2152 | python.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 2152 | python.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 2152 | python.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 2152 | python.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 2152 | python.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 2152 | python.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 2152 | python.exe | 20 | SeDebugPrivilege | Present,Enabled | Debug programs |
| 2152 | python.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 2152 | python.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 2152 | python.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 2152 | python.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 2152 | python.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 2152 | python.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 2152 | python.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 2152 | python.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 2152 | python.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 2152 | python.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 2152 | python.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 2152 | python.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 2152 | python.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 2152 | python.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 2152 | python.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 2776 | svchost.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 2776 | svchost.exe | 3 | SeAssignPrimaryTokenPrivilege | Replace a process-level token | |
| 2776 | svchost.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 2776 | svchost.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 2776 | svchost.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 2776 | svchost.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 2776 | svchost.exe | 8 | SeSecurityPrivilege | Present | Manage auditing and security log |
| 2776 | svchost.exe | 9 | SeTakeOwnershipPrivilege | Present | Take ownership of files/objects |
| 2776 | svchost.exe | 10 | SeLoadDriverPrivilege | Present | Load and unload device drivers |
| 2776 | svchost.exe | 11 | SeSystemProfilePrivilege | Present | Profile system performance |
| 2776 | svchost.exe | 12 | SeSystemtimePrivilege | Present | Change the system time |
| 2776 | svchost.exe | 13 | SeProfileSingleProcessPrivilege | Present | Profile a single process |
| 2776 | svchost.exe | 14 | SeIncreaseBasePriorityPrivilege | Present | Increase scheduling priority |
| 2776 | svchost.exe | 15 | SeCreatePagefilePrivilege | Present | Create a pagefile |
| 2776 | svchost.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 2776 | svchost.exe | 17 | SeBackupPrivilege | Present | Backup files and directories |
| 2776 | svchost.exe | 18 | SeRestorePrivilege | Present | Restore files and directories |
| 2776 | svchost.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 2776 | svchost.exe | 20 | SeDebugPrivilege | Present,Enabled | Debug programs |
| 2776 | svchost.exe | 21 | SeAuditPrivilege | Generate security audits | |
| 2776 | svchost.exe | 22 | SeSystemEnvironmentPrivilege | Present | Edit firmware environment values |
| 2776 | svchost.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 2776 | svchost.exe | 24 | SeRemoteShutdownPrivilege | Present | Force shutdown from a remote system |
| 2776 | svchost.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 2776 | svchost.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 2776 | svchost.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 2776 | svchost.exe | 28 | SeManageVolumePrivilege | Present | Manage the files on a volume |
| 2776 | svchost.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 2776 | svchost.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 2776 | svchost.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 2776 | svchost.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 2776 | svchost.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 2776 | svchost.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 2776 | svchost.exe | 35 | SeCreateSymbolicLinkPrivilege | Present | Required to create a symbolic link |
| 1948 | WmiPrvSE.exe | 2 | SeCreateTokenPrivilege | Create a token object | |
| 1948 | WmiPrvSE.exe | 3 | SeAssignPrimaryTokenPrivilege | Present | Replace a process-level token |
| 1948 | WmiPrvSE.exe | 4 | SeLockMemoryPrivilege | Lock pages in memory | |
| 1948 | WmiPrvSE.exe | 5 | SeIncreaseQuotaPrivilege | Present | Increase quotas |
| 1948 | WmiPrvSE.exe | 6 | SeMachineAccountPrivilege | Add workstations to the domain | |
| 1948 | WmiPrvSE.exe | 7 | SeTcbPrivilege | Act as part of the operating system | |
| 1948 | WmiPrvSE.exe | 8 | SeSecurityPrivilege | Manage auditing and security log | |
| 1948 | WmiPrvSE.exe | 9 | SeTakeOwnershipPrivilege | Take ownership of files/objects | |
| 1948 | WmiPrvSE.exe | 10 | SeLoadDriverPrivilege | Load and unload device drivers | |
| 1948 | WmiPrvSE.exe | 11 | SeSystemProfilePrivilege | Profile system performance | |
| 1948 | WmiPrvSE.exe | 12 | SeSystemtimePrivilege | Change the system time | |
| 1948 | WmiPrvSE.exe | 13 | SeProfileSingleProcessPrivilege | Profile a single process | |
| 1948 | WmiPrvSE.exe | 14 | SeIncreaseBasePriorityPrivilege | Increase scheduling priority | |
| 1948 | WmiPrvSE.exe | 15 | SeCreatePagefilePrivilege | Create a pagefile | |
| 1948 | WmiPrvSE.exe | 16 | SeCreatePermanentPrivilege | Create permanent shared objects | |
| 1948 | WmiPrvSE.exe | 17 | SeBackupPrivilege | Backup files and directories | |
| 1948 | WmiPrvSE.exe | 18 | SeRestorePrivilege | Restore files and directories | |
| 1948 | WmiPrvSE.exe | 19 | SeShutdownPrivilege | Present | Shut down the system |
| 1948 | WmiPrvSE.exe | 20 | SeDebugPrivilege | Debug programs | |
| 1948 | WmiPrvSE.exe | 21 | SeAuditPrivilege | Present | Generate security audits |
| 1948 | WmiPrvSE.exe | 22 | SeSystemEnvironmentPrivilege | Edit firmware environment values | |
| 1948 | WmiPrvSE.exe | 23 | SeChangeNotifyPrivilege | Present,Enabled,Default | Receive notifications of changes to files or directories |
| 1948 | WmiPrvSE.exe | 24 | SeRemoteShutdownPrivilege | Force shutdown from a remote system | |
| 1948 | WmiPrvSE.exe | 25 | SeUndockPrivilege | Present | Remove computer from docking station |
| 1948 | WmiPrvSE.exe | 26 | SeSyncAgentPrivilege | Synch directory service data | |
| 1948 | WmiPrvSE.exe | 27 | SeEnableDelegationPrivilege | Enable user accounts to be trusted for delegation | |
| 1948 | WmiPrvSE.exe | 28 | SeManageVolumePrivilege | Manage the files on a volume | |
| 1948 | WmiPrvSE.exe | 29 | SeImpersonatePrivilege | Present,Enabled,Default | Impersonate a client after authentication |
| 1948 | WmiPrvSE.exe | 30 | SeCreateGlobalPrivilege | Present,Enabled,Default | Create global objects |
| 1948 | WmiPrvSE.exe | 31 | SeTrustedCredManAccessPrivilege | Access Credential Manager as a trusted caller | |
| 1948 | WmiPrvSE.exe | 32 | SeRelabelPrivilege | Modify the mandatory integrity level of an object | |
| 1948 | WmiPrvSE.exe | 33 | SeIncreaseWorkingSetPrivilege | Present | Allocate more memory for user applications |
| 1948 | WmiPrvSE.exe | 34 | SeTimeZonePrivilege | Present | Adjust the time zone of the computer's internal clock |
| 1948 | WmiPrvSE.exe | 35 | SeCreateSymbolicLinkPrivilege | Required to create a symbolic link |
| PID | Process name | Dll mapped path | Dll base | In load | In init | In mem | Load full dll name | Init full dll name | Mem full dll name |
|---|---|---|---|---|---|---|---|---|---|
| 4 | System | \Windows\System32\ntdll.dll | 0x771f0000 | False | False | False | |||
| 212 | smss.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 288 | csrss.exe | \Windows\Fonts\vgasys.fon | 0x1e0000 | False | False | False | |||
| 288 | csrss.exe | \Windows\System32\csrss.exe | 0x49b80000 | True | False | True | C:\Windows\system32\csrss.exe | C:\Windows\system32\csrss.exe | |
| 288 | csrss.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\SYSTEM32\kernel32.dll | C:\Windows\SYSTEM32\kernel32.dll | C:\Windows\SYSTEM32\kernel32.dll |
| 288 | csrss.exe | \Windows\System32\sxssrv.dll | 0x75350000 | True | True | True | C:\Windows\system32\sxssrv.DLL | C:\Windows\system32\sxssrv.DLL | C:\Windows\system32\sxssrv.DLL |
| 288 | csrss.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 288 | csrss.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 288 | csrss.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 288 | csrss.exe | \Windows\System32\sxs.dll | 0x752a0000 | True | True | True | C:\Windows\system32\sxs.dll | C:\Windows\system32\sxs.dll | C:\Windows\system32\sxs.dll |
| 288 | csrss.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 288 | csrss.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 288 | csrss.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 288 | csrss.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 288 | csrss.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 288 | csrss.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 324 | wininit.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 324 | wininit.exe | \Windows\System32\en-US\user32.dll.mui | 0x160000 | False | False | False | |||
| 324 | wininit.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 324 | wininit.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 324 | wininit.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 324 | wininit.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 324 | wininit.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 324 | wininit.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 324 | wininit.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 324 | wininit.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 324 | wininit.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 324 | wininit.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 324 | wininit.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 324 | wininit.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 324 | wininit.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 324 | wininit.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 324 | wininit.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 324 | wininit.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 324 | wininit.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 324 | wininit.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\secur32.dll | C:\Windows\system32\secur32.dll | C:\Windows\system32\secur32.dll |
| 324 | wininit.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 324 | wininit.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 324 | wininit.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 324 | wininit.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 324 | wininit.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 324 | wininit.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 336 | csrss.exe | \Windows\Fonts\vgasys.fon | 0x400000 | False | False | False | |||
| 336 | csrss.exe | \Windows\Fonts\vgaoem.fon | 0x750000 | False | False | False | |||
| 336 | csrss.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 336 | csrss.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 336 | csrss.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 336 | csrss.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 336 | csrss.exe | \Windows\System32\csrss.exe | 0x49b80000 | True | False | True | C:\Windows\system32\csrss.exe | C:\Windows\system32\csrss.exe | |
| 336 | csrss.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\SYSTEM32\kernel32.dll | C:\Windows\SYSTEM32\kernel32.dll | C:\Windows\SYSTEM32\kernel32.dll |
| 336 | csrss.exe | \Windows\System32\sxs.dll | 0x752a0000 | True | True | True | C:\Windows\system32\sxs.dll | C:\Windows\system32\sxs.dll | C:\Windows\system32\sxs.dll |
| 336 | csrss.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 336 | csrss.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 336 | csrss.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 336 | csrss.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 336 | csrss.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 376 | winlogon.exe | \Windows\System32\en-US\user32.dll.mui | 0x90000 | False | False | False | |||
| 376 | winlogon.exe | \Windows\System32\mpr.dll | 0x71800000 | True | True | True | C:\Windows\system32\MPR.dll | C:\Windows\system32\MPR.dll | C:\Windows\system32\MPR.dll |
| 376 | winlogon.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 376 | winlogon.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 376 | winlogon.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 376 | winlogon.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 376 | winlogon.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 376 | winlogon.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 376 | winlogon.exe | \Windows\System32\netutils.dll | 0x73a60000 | True | True | True | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll |
| 376 | winlogon.exe | \Windows\System32\slc.dll | 0x73840000 | True | True | True | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll |
| 376 | winlogon.exe | \Windows\System32\wkscli.dll | 0x73a50000 | True | True | True | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll |
| 376 | winlogon.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 376 | winlogon.exe | \Windows\System32\netjoin.dll | 0x74e90000 | True | True | True | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll |
| 376 | winlogon.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 376 | winlogon.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 376 | winlogon.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 376 | winlogon.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 376 | winlogon.exe | \Windows\System32\WindowsCodecs.dll | 0x73b90000 | True | True | True | C:\Windows\system32\WindowsCodecs.dll | C:\Windows\system32\WindowsCodecs.dll | C:\Windows\system32\WindowsCodecs.dll |
| 376 | winlogon.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll |
| 376 | winlogon.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 376 | winlogon.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 376 | winlogon.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 376 | winlogon.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 376 | winlogon.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 376 | winlogon.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 376 | winlogon.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 376 | winlogon.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 376 | winlogon.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 376 | winlogon.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 376 | winlogon.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 424 | services.exe | \Windows\System32\en-US\services.exe.mui | 0x20000 | False | False | False | |||
| 424 | services.exe | \Windows\System32\services.exe | 0x450000 | True | False | True | C:\Windows\system32\services.exe | C:\Windows\system32\services.exe | |
| 424 | services.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 424 | services.exe | \Windows\System32\authz.dll | 0x74f30000 | True | True | True | C:\Windows\system32\AUTHZ.dll | C:\Windows\system32\AUTHZ.dll | C:\Windows\system32\AUTHZ.dll |
| 424 | services.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 424 | services.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 424 | services.exe | \Windows\System32\srvcli.dll | 0x75190000 | True | True | True | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll |
| 424 | services.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 424 | services.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 424 | services.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 424 | services.exe | \Windows\System32\ubpm.dll | 0x74a70000 | True | True | True | C:\Windows\system32\UBPM.dll | C:\Windows\system32\UBPM.dll | C:\Windows\system32\UBPM.dll |
| 424 | services.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 424 | services.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 424 | services.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 424 | services.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 424 | services.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 424 | services.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 424 | services.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 424 | services.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 424 | services.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 424 | services.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 424 | services.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 424 | services.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 424 | services.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 424 | services.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll |
| 424 | services.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 424 | services.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 424 | services.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 424 | services.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 424 | services.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 424 | services.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 424 | services.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 432 | lsass.exe | \Windows\System32\authz.dll | 0x74f30000 | True | True | True | C:\Windows\system32\AUTHZ.dll | C:\Windows\system32\AUTHZ.dll | C:\Windows\system32\AUTHZ.dll |
| 432 | lsass.exe | \Windows\System32\en-US\lsasrv.dll.mui | 0x1d0000 | False | False | False | |||
| 432 | lsass.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 432 | lsass.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 432 | lsass.exe | \Windows\System32\bcryptprimitives.dll | 0x74aa0000 | True | True | True | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll |
| 432 | lsass.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 432 | lsass.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 432 | lsass.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 432 | lsass.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 432 | lsass.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 432 | lsass.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 432 | lsass.exe | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll |
| 432 | lsass.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 432 | lsass.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 432 | lsass.exe | \Windows\System32\lsasrv.dll | 0x75080000 | True | True | True | C:\Windows\system32\lsasrv.dll | C:\Windows\system32\lsasrv.dll | C:\Windows\system32\lsasrv.dll |
| 432 | lsass.exe | \Windows\System32\netjoin.dll | 0x74e90000 | True | True | True | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll |
| 432 | lsass.exe | \Windows\System32\bcrypt.dll | 0x74ed0000 | True | True | True | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll |
| 432 | lsass.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\cryptbase.dll | C:\Windows\system32\cryptbase.dll | C:\Windows\system32\cryptbase.dll |
| 432 | lsass.exe | \Windows\System32\dssenh.dll | 0x6c2f0000 | True | True | True | C:\Windows\system32\dssenh.dll | C:\Windows\system32\dssenh.dll | C:\Windows\system32\dssenh.dll |
| 432 | lsass.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL |
| 432 | lsass.exe | \Windows\System32\lsass.exe | 0x310000 | True | False | True | C:\Windows\system32\lsass.exe | C:\Windows\system32\lsass.exe | |
| 432 | lsass.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 432 | lsass.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 432 | lsass.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 432 | lsass.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 432 | lsass.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 432 | lsass.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll |
| 432 | lsass.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 432 | lsass.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 432 | lsass.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 432 | lsass.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 432 | lsass.exe | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 432 | lsass.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 432 | lsass.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 432 | lsass.exe | \Windows\System32\schannel.dll | 0x74bd0000 | True | True | True | C:\Windows\system32\schannel.DLL | C:\Windows\system32\schannel.DLL | C:\Windows\system32\schannel.DLL |
| 432 | lsass.exe | \Windows\System32\kerberos.dll | 0x74de0000 | True | True | True | C:\Windows\system32\kerberos.DLL | C:\Windows\system32\kerberos.DLL | C:\Windows\system32\kerberos.DLL |
| 432 | lsass.exe | \Windows\System32\samlib.dll | 0x73ff0000 | True | True | True | C:\Windows\system32\SAMLIB.dll | C:\Windows\system32\SAMLIB.dll | C:\Windows\system32\SAMLIB.dll |
| 432 | lsass.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll |
| 432 | lsass.exe | \Windows\System32\logoncli.dll | 0x74c10000 | True | True | True | C:\Windows\system32\logoncli.dll | C:\Windows\system32\logoncli.dll | C:\Windows\system32\logoncli.dll |
| 432 | lsass.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 432 | lsass.exe | \Windows\System32\samcli.dll | 0x73a40000 | True | True | True | C:\Windows\system32\samcli.dll | C:\Windows\system32\samcli.dll | C:\Windows\system32\samcli.dll |
| 432 | lsass.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 432 | lsass.exe | \Windows\System32\netutils.dll | 0x73a60000 | True | True | True | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll |
| 432 | lsass.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 432 | lsass.exe | \Windows\System32\ncrypt.dll | 0x74ef0000 | True | True | True | C:\Windows\system32\ncrypt.dll | C:\Windows\system32\ncrypt.dll | C:\Windows\system32\ncrypt.dll |
| 432 | lsass.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 432 | lsass.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 432 | lsass.exe | \Windows\System32\wevtapi.dll | 0x74f60000 | True | True | True | C:\Windows\system32\wevtapi.dll | C:\Windows\system32\wevtapi.dll | C:\Windows\system32\wevtapi.dll |
| 432 | lsass.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 432 | lsass.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL |
| 440 | lsm.exe | \Windows\System32\lsm.exe | 0x3b0000 | True | False | True | C:\Windows\system32\lsm.exe | C:\Windows\system32\lsm.exe | |
| 440 | lsm.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 440 | lsm.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 440 | lsm.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 440 | lsm.exe | \Windows\System32\wmsgapi.dll | 0x75060000 | True | True | True | C:\Windows\system32\WMsgAPI.dll | C:\Windows\system32\WMsgAPI.dll | C:\Windows\system32\WMsgAPI.dll |
| 440 | lsm.exe | \Windows\System32\pcwum.dll | 0x74950000 | True | True | True | C:\Windows\system32\pcwum.dll | C:\Windows\system32\pcwum.dll | C:\Windows\system32\pcwum.dll |
| 440 | lsm.exe | \Windows\System32\sysntfy.dll | 0x75070000 | True | True | True | C:\Windows\system32\SYSNTFY.dll | C:\Windows\system32\SYSNTFY.dll | C:\Windows\system32\SYSNTFY.dll |
| 440 | lsm.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 440 | lsm.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 440 | lsm.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 440 | lsm.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 440 | lsm.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 440 | lsm.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 440 | lsm.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\secur32.dll | C:\Windows\system32\secur32.dll | C:\Windows\system32\secur32.dll |
| 440 | lsm.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 440 | lsm.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 544 | svchost.exe | \Windows\System32\devrtl.dll | 0x749c0000 | True | True | True | c:\windows\system32\DEVRTL.dll | c:\windows\system32\DEVRTL.dll | c:\windows\system32\DEVRTL.dll |
| 544 | svchost.exe | \Windows\System32\en-US\setupapi.dll.mui | 0x200000 | False | False | False | |||
| 544 | svchost.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 544 | svchost.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 544 | svchost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 544 | svchost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 544 | svchost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 544 | svchost.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 544 | svchost.exe | \Windows\System32\wbem\wbemprox.dll | 0x71ba0000 | True | True | True | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll |
| 544 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 544 | svchost.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 544 | svchost.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 544 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 544 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 544 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\system32\svchost.exe | C:\Windows\system32\svchost.exe | |
| 544 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 544 | svchost.exe | \Windows\System32\wbem\wbemsvc.dll | 0x71a50000 | True | True | True | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll |
| 544 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 544 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 544 | svchost.exe | \Windows\System32\wbemcomn.dll | 0x71ca0000 | True | True | True | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll |
| 544 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 544 | svchost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 544 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 544 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 544 | svchost.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 544 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 544 | svchost.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll |
| 544 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 544 | svchost.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 544 | svchost.exe | \Windows\System32\wbem\wmiutils.dll | 0x719a0000 | True | True | True | C:\Windows\system32\wbem\wmiutils.dll | C:\Windows\system32\wbem\wmiutils.dll | C:\Windows\system32\wbem\wmiutils.dll |
| 544 | svchost.exe | \Windows\System32\ntdsapi.dll | 0x71bb0000 | True | True | True | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll |
| 544 | svchost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 544 | svchost.exe | \Windows\System32\wbem\fastprox.dll | 0x71bd0000 | True | True | True | C:\Windows\system32\wbem\FastProx.dll | C:\Windows\system32\wbem\FastProx.dll | C:\Windows\system32\wbem\FastProx.dll |
| 544 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 544 | svchost.exe | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 544 | svchost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 544 | svchost.exe | \Windows\System32\pcwum.dll | 0x74950000 | True | True | True | c:\windows\system32\pcwum.DLL | c:\windows\system32\pcwum.DLL | c:\windows\system32\pcwum.DLL |
| 544 | svchost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | c:\windows\system32\SspiCli.dll | c:\windows\system32\SspiCli.dll | c:\windows\system32\SspiCli.dll |
| 544 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 544 | svchost.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 544 | svchost.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 544 | svchost.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 544 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 544 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 544 | svchost.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 544 | svchost.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 544 | svchost.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | c:\windows\system32\WINSTA.dll | c:\windows\system32\WINSTA.dll | c:\windows\system32\WINSTA.dll |
| 544 | svchost.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 600 | VBoxService.ex | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll |
| 600 | VBoxService.ex | \Windows\System32\VBoxService.exe | 0x340000 | True | False | True | C:\Windows\system32\VBoxService.exe | C:\Windows\system32\VBoxService.exe | |
| 600 | VBoxService.ex | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 600 | VBoxService.ex | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 600 | VBoxService.ex | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 600 | VBoxService.ex | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 600 | VBoxService.ex | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 600 | VBoxService.ex | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 600 | VBoxService.ex | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 600 | VBoxService.ex | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 600 | VBoxService.ex | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 600 | VBoxService.ex | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL |
| 600 | VBoxService.ex | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 600 | VBoxService.ex | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 600 | VBoxService.ex | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 600 | VBoxService.ex | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 600 | VBoxService.ex | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 600 | VBoxService.ex | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 600 | VBoxService.ex | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 600 | VBoxService.ex | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 600 | VBoxService.ex | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 600 | VBoxService.ex | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 600 | VBoxService.ex | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 600 | VBoxService.ex | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL |
| 600 | VBoxService.ex | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL |
| 600 | VBoxService.ex | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 600 | VBoxService.ex | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 600 | VBoxService.ex | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 600 | VBoxService.ex | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 600 | VBoxService.ex | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 600 | VBoxService.ex | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL |
| 652 | svchost.exe | \Windows\System32\RpcEpMap.dll | 0x74860000 | True | True | True | c:\windows\system32\rpcepmap.dll | c:\windows\system32\rpcepmap.dll | c:\windows\system32\rpcepmap.dll |
| 652 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\system32\svchost.exe | C:\Windows\system32\svchost.exe | |
| 652 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 652 | svchost.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 652 | svchost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 652 | svchost.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 652 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 652 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 652 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 652 | svchost.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 652 | svchost.exe | \Windows\System32\en-US\wshtcpip.dll.mui | 0x240000 | False | False | False | |||
| 652 | svchost.exe | \Windows\System32\en-US\wship6.dll.mui | 0x250000 | False | False | False | |||
| 652 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\user32.dll | C:\Windows\system32\user32.dll | C:\Windows\system32\user32.dll |
| 652 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 652 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 652 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 652 | svchost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 652 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 652 | svchost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 652 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 652 | svchost.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 652 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 652 | svchost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 652 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 652 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 652 | svchost.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\secur32.dll | C:\Windows\system32\secur32.dll | C:\Windows\system32\secur32.dll |
| 652 | svchost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 652 | svchost.exe | \Windows\System32\FirewallAPI.dll | 0x747d0000 | True | True | True | C:\Windows\system32\FirewallAPI.dll | C:\Windows\system32\FirewallAPI.dll | C:\Windows\system32\FirewallAPI.dll |
| 652 | svchost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 652 | svchost.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 652 | svchost.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 652 | svchost.exe | \Windows\System32\rpcss.dll | 0x74870000 | True | True | True | c:\windows\system32\rpcss.dll | c:\windows\system32\rpcss.dll | c:\windows\system32\rpcss.dll |
| 652 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 652 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 652 | svchost.exe | \Windows\System32\FWPUCLNT.DLL | 0x73650000 | True | True | True | C:\Windows\system32\fwpuclnt.dll | C:\Windows\system32\fwpuclnt.dll | C:\Windows\system32\fwpuclnt.dll |
| 652 | svchost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 704 | svchost.exe | \Windows\System32\wevtsvc.dll | 0x746c0000 | True | True | True | c:\windows\system32\wevtsvc.dll | c:\windows\system32\wevtsvc.dll | c:\windows\system32\wevtsvc.dll |
| 704 | svchost.exe | \Windows\System32\en-US\setupapi.dll.mui | 0xf0000 | False | False | False | |||
| 704 | svchost.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\System32\VERSION.dll | C:\Windows\System32\VERSION.dll | C:\Windows\System32\VERSION.dll |
| 704 | svchost.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\System32\credssp.dll | C:\Windows\System32\credssp.dll | C:\Windows\System32\credssp.dll |
| 704 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\System32\svchost.exe | C:\Windows\System32\svchost.exe | |
| 704 | svchost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 704 | svchost.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | c:\windows\system32\WINNSI.DLL | c:\windows\system32\WINNSI.DLL | c:\windows\system32\WINNSI.DLL |
| 704 | svchost.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 704 | svchost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 704 | svchost.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 704 | svchost.exe | \Windows\System32\actxprxy.dll | 0x70fa0000 | True | True | True | C:\Windows\system32\actxprxy.dll | C:\Windows\system32\actxprxy.dll | C:\Windows\system32\actxprxy.dll |
| 704 | svchost.exe | \Windows\System32\wevtapi.dll | 0x74f60000 | False | False | False | |||
| 704 | svchost.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 704 | svchost.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | c:\windows\system32\PROPSYS.dll | c:\windows\system32\PROPSYS.dll | c:\windows\system32\PROPSYS.dll |
| 704 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 704 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 704 | svchost.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 704 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 704 | svchost.exe | \Windows\System32\powrprof.dll | 0x74610000 | True | True | True | c:\windows\system32\POWRPROF.dll | c:\windows\system32\POWRPROF.dll | c:\windows\system32\POWRPROF.dll |
| 704 | svchost.exe | \Windows\System32\avrt.dll | 0x745a0000 | True | True | True | c:\windows\system32\AVRT.dll | c:\windows\system32\AVRT.dll | c:\windows\system32\AVRT.dll |
| 704 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 704 | svchost.exe | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | c:\windows\system32\DNSAPI.dll | c:\windows\system32\DNSAPI.dll | c:\windows\system32\DNSAPI.dll |
| 704 | svchost.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x1e50000 | False | False | False | |||
| 704 | svchost.exe | \Windows\System32\provsvc.dll | 0x72860000 | True | True | True | c:\windows\system32\provsvc.dll | c:\windows\system32\provsvc.dll | c:\windows\system32\provsvc.dll |
| 704 | svchost.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 704 | svchost.exe | \Windows\System32\dhcpcsvc6.dll | 0x71e70000 | True | True | True | C:\Windows\System32\dhcpcsvc6.DLL | C:\Windows\System32\dhcpcsvc6.DLL | C:\Windows\System32\dhcpcsvc6.DLL |
| 704 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 704 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\System32\CRYPTBASE.dll | C:\Windows\System32\CRYPTBASE.dll | C:\Windows\System32\CRYPTBASE.dll |
| 704 | svchost.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 704 | svchost.exe | \Windows\System32\MMDevAPI.dll | 0x745d0000 | True | True | True | c:\windows\system32\MMDevAPI.DLL | c:\windows\system32\MMDevAPI.DLL | c:\windows\system32\MMDevAPI.DLL |
| 704 | svchost.exe | \Windows\System32\services.exe | 0x6d0000 | False | False | False | |||
| 704 | svchost.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 704 | svchost.exe | \Windows\System32\msxml6.dll | 0x724e0000 | True | True | True | C:\Windows\System32\msxml6.dll | C:\Windows\System32\msxml6.dll | C:\Windows\System32\msxml6.dll |
| 704 | svchost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 704 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 704 | svchost.exe | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\System32\dhcpcsvc.DLL | C:\Windows\System32\dhcpcsvc.DLL | C:\Windows\System32\dhcpcsvc.DLL |
| 704 | svchost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 704 | svchost.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\System32\IPHLPAPI.DLL | C:\Windows\System32\IPHLPAPI.DLL | C:\Windows\System32\IPHLPAPI.DLL |
| 704 | svchost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\System32\RpcRtRemote.dll | C:\Windows\System32\RpcRtRemote.dll | C:\Windows\System32\RpcRtRemote.dll |
| 704 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 704 | svchost.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 704 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 704 | svchost.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 704 | svchost.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | C:\Windows\System32\GPAPI.dll | C:\Windows\System32\GPAPI.dll | C:\Windows\System32\GPAPI.dll |
| 704 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 704 | svchost.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 704 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 704 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 704 | svchost.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 704 | svchost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\System32\CRYPTSP.dll | C:\Windows\System32\CRYPTSP.dll | C:\Windows\System32\CRYPTSP.dll |
| 704 | svchost.exe | \Windows\System32\FirewallAPI.dll | 0x747d0000 | True | True | True | C:\Windows\System32\firewallapi.dll | C:\Windows\System32\firewallapi.dll | C:\Windows\System32\firewallapi.dll |
| 704 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 704 | svchost.exe | \Windows\System32\atl.dll | 0x737f0000 | True | True | True | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL |
| 704 | svchost.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\System32\secur32.dll | C:\Windows\System32\secur32.dll | C:\Windows\System32\secur32.dll |
| 704 | svchost.exe | \Windows\System32\ksuser.dll | 0x70810000 | True | True | True | C:\Windows\System32\ksuser.dll | C:\Windows\System32\ksuser.dll | C:\Windows\System32\ksuser.dll |
| 704 | svchost.exe | \Windows\System32\AudioSes.dll | 0x707d0000 | True | True | True | C:\Windows\System32\audioses.dll | C:\Windows\System32\audioses.dll | C:\Windows\System32\audioses.dll |
| 704 | svchost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\System32\SSPICLI.DLL | C:\Windows\System32\SSPICLI.DLL | C:\Windows\System32\SSPICLI.DLL |
| 704 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 704 | svchost.exe | \Windows\System32\audiosrv.dll | 0x74640000 | True | True | True | c:\windows\system32\audiosrv.dll | c:\windows\system32\audiosrv.dll | c:\windows\system32\audiosrv.dll |
| 704 | svchost.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 704 | svchost.exe | \Windows\System32\npmproxy.dll | 0x71070000 | True | True | True | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll |
| 704 | svchost.exe | \Windows\System32\AUDIOKSE.dll | 0x706a0000 | True | True | True | C:\Windows\System32\audiokse.dll | C:\Windows\System32\audiokse.dll | C:\Windows\System32\audiokse.dll |
| 704 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 704 | svchost.exe | \Windows\System32\fdProxy.dll | 0x724d0000 | True | True | True | C:\Windows\system32\fdproxy.dll | C:\Windows\system32\fdproxy.dll | C:\Windows\system32\fdproxy.dll |
| 704 | svchost.exe | \Windows\System32\msxml6r.dll | 0x110000 | False | False | False | |||
| 704 | svchost.exe | \Windows\System32\fundisc.dll | 0x72670000 | True | True | True | C:\Windows\system32\FunDisc.dll | C:\Windows\system32\FunDisc.dll | C:\Windows\system32\FunDisc.dll |
| 704 | svchost.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\System32\WINSTA.dll | C:\Windows\System32\WINSTA.dll | C:\Windows\System32\WINSTA.dll |
| 704 | svchost.exe | \Program Files\Internet Explorer\ieproxy.dll | 0x70510000 | True | True | True | C:\Program Files\Internet Explorer\ieproxy.dll | C:\Program Files\Internet Explorer\ieproxy.dll | C:\Program Files\Internet Explorer\ieproxy.dll |
| 788 | svchost.exe | \Windows\System32\audiosrv.dll | 0x74640000 | True | True | True | c:\windows\system32\audiosrv.dll | c:\windows\system32\audiosrv.dll | c:\windows\system32\audiosrv.dll |
| 788 | svchost.exe | \Windows\System32\en-US\setupapi.dll.mui | 0xf0000 | False | False | False | |||
| 788 | svchost.exe | \Windows\System32\netman.dll | 0x72d30000 | True | True | True | c:\windows\system32\netman.dll | c:\windows\system32\netman.dll | c:\windows\system32\netman.dll |
| 788 | svchost.exe | \Windows\System32\netcfgx.dll | 0x72b40000 | True | True | True | C:\Windows\system32\netcfgx.dll | C:\Windows\system32\netcfgx.dll | C:\Windows\system32\netcfgx.dll |
| 788 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 788 | svchost.exe | \Windows\System32\trkwks.dll | 0x71d30000 | True | True | True | c:\windows\system32\trkwks.dll | c:\windows\system32\trkwks.dll | c:\windows\system32\trkwks.dll |
| 788 | svchost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 788 | svchost.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 788 | svchost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 788 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 788 | svchost.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 788 | svchost.exe | \Windows\System32\wbem\wbemprox.dll | 0x71ba0000 | True | True | True | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll |
| 788 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 788 | svchost.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 788 | svchost.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | c:\windows\system32\PROPSYS.dll | c:\windows\system32\PROPSYS.dll | c:\windows\system32\PROPSYS.dll |
| 788 | svchost.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\System32\ntmarta.dll | C:\Windows\System32\ntmarta.dll | C:\Windows\System32\ntmarta.dll |
| 788 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 788 | svchost.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\System32\credssp.dll | C:\Windows\System32\credssp.dll | C:\Windows\System32\credssp.dll |
| 788 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 788 | svchost.exe | \Windows\System32\powrprof.dll | 0x74610000 | True | True | True | c:\windows\system32\POWRPROF.dll | c:\windows\system32\POWRPROF.dll | c:\windows\system32\POWRPROF.dll |
| 788 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\System32\svchost.exe | C:\Windows\System32\svchost.exe | |
| 788 | svchost.exe | \Windows\System32\rtutils.dll | 0x73a90000 | True | True | True | C:\Windows\System32\rtutils.dll | C:\Windows\System32\rtutils.dll | C:\Windows\System32\rtutils.dll |
| 788 | svchost.exe | \Windows\System32\sfc_os.dll | 0x72230000 | True | True | True | c:\windows\system32\sfc_os.DLL | c:\windows\system32\sfc_os.DLL | c:\windows\system32\sfc_os.DLL |
| 788 | svchost.exe | \Windows\System32\slc.dll | 0x73840000 | True | True | True | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll |
| 788 | svchost.exe | \Windows\System32\wbem\wbemsvc.dll | 0x71a50000 | True | True | True | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll |
| 788 | svchost.exe | \Windows\System32\rasdlg.dll | 0x72c60000 | True | True | True | C:\Windows\System32\RASDLG.dll | C:\Windows\System32\RASDLG.dll | C:\Windows\System32\RASDLG.dll |
| 788 | svchost.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 788 | svchost.exe | \Windows\System32\aepic.dll | 0x72270000 | True | True | True | c:\windows\system32\AEPIC.dll | c:\windows\system32\AEPIC.dll | c:\windows\system32\AEPIC.dll |
| 788 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 788 | svchost.exe | \Windows\System32\pcasvc.dll | 0x72290000 | True | True | True | c:\windows\system32\pcasvc.dll | c:\windows\system32\pcasvc.dll | c:\windows\system32\pcasvc.dll |
| 788 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 788 | svchost.exe | \Windows\System32\wbemcomn.dll | 0x71ca0000 | True | True | True | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll |
| 788 | svchost.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 788 | svchost.exe | \Windows\System32\MMDevAPI.dll | 0x745d0000 | True | True | True | c:\windows\system32\MMDevAPI.DLL | c:\windows\system32\MMDevAPI.DLL | c:\windows\system32\MMDevAPI.DLL |
| 788 | svchost.exe | \Windows\System32\ntdsapi.dll | 0x71bb0000 | True | True | True | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll |
| 788 | svchost.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 788 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\System32\CRYPTBASE.dll | C:\Windows\System32\CRYPTBASE.dll | C:\Windows\System32\CRYPTBASE.dll |
| 788 | svchost.exe | \Windows\System32\hnetcfg.dll | 0x72af0000 | True | True | True | C:\Windows\system32\hnetcfg.dll | C:\Windows\system32\hnetcfg.dll | C:\Windows\system32\hnetcfg.dll |
| 788 | svchost.exe | \Windows\System32\sysmain.dll | 0x71d50000 | True | True | True | c:\windows\system32\sysmain.dll | c:\windows\system32\sysmain.dll | c:\windows\system32\sysmain.dll |
| 788 | svchost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 788 | svchost.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 788 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 788 | svchost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\System32\RpcRtRemote.dll | C:\Windows\System32\RpcRtRemote.dll | C:\Windows\System32\RpcRtRemote.dll |
| 788 | svchost.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\System32\WTSAPI32.dll | C:\Windows\System32\WTSAPI32.dll | C:\Windows\System32\WTSAPI32.dll |
| 788 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 788 | svchost.exe | \Windows\System32\netshell.dll | 0x72f50000 | True | True | True | C:\Windows\System32\netshell.dll | C:\Windows\System32\netshell.dll | C:\Windows\System32\netshell.dll |
| 788 | svchost.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 788 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 788 | svchost.exe | \Windows\System32\wbem\fastprox.dll | 0x71bd0000 | True | True | True | C:\Windows\system32\wbem\fastprox.dll | C:\Windows\system32\wbem\fastprox.dll | C:\Windows\system32\wbem\fastprox.dll |
| 788 | svchost.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | C:\Windows\System32\GPAPI.dll | C:\Windows\System32\GPAPI.dll | C:\Windows\System32\GPAPI.dll |
| 788 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 788 | svchost.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 788 | svchost.exe | \Windows\System32\avrt.dll | 0x745a0000 | True | True | True | c:\windows\system32\AVRT.dll | c:\windows\system32\AVRT.dll | c:\windows\system32\AVRT.dll |
| 788 | svchost.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\System32\nlaapi.dll | C:\Windows\System32\nlaapi.dll | C:\Windows\System32\nlaapi.dll |
| 788 | svchost.exe | \Windows\System32\rasman.dll | 0x72bb0000 | True | True | True | C:\Windows\System32\rasman.dll | C:\Windows\System32\rasman.dll | C:\Windows\System32\rasman.dll |
| 788 | svchost.exe | \Windows\System32\PortableDeviceApi.dll | 0x719c0000 | True | True | True | C:\Windows\system32\PortableDeviceApi.dll | C:\Windows\system32\PortableDeviceApi.dll | C:\Windows\system32\PortableDeviceApi.dll |
| 788 | svchost.exe | \Windows\System32\rasapi32.dll | 0x72bd0000 | True | True | True | C:\Windows\System32\RASAPI32.dll | C:\Windows\System32\RASAPI32.dll | C:\Windows\System32\RASAPI32.dll |
| 788 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 788 | svchost.exe | \Windows\System32\atl.dll | 0x737f0000 | True | True | True | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL |
| 788 | svchost.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\System32\secur32.dll | C:\Windows\System32\secur32.dll | C:\Windows\System32\secur32.dll |
| 788 | svchost.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | c:\windows\system32\VERSION.dll | c:\windows\system32\VERSION.dll | c:\windows\system32\VERSION.dll |
| 788 | svchost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 788 | svchost.exe | \Windows\System32\PortableDeviceConnectApi.dll | 0x71930000 | True | True | True | C:\Windows\System32\portabledeviceconnectapi.dll | C:\Windows\System32\portabledeviceconnectapi.dll | C:\Windows\System32\portabledeviceconnectapi.dll |
| 788 | svchost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\System32\SspiCli.dll | C:\Windows\System32\SspiCli.dll | C:\Windows\System32\SspiCli.dll |
| 788 | svchost.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 788 | svchost.exe | \Windows\System32\mprapi.dll | 0x72c30000 | True | True | True | C:\Windows\System32\MPRAPI.dll | C:\Windows\System32\MPRAPI.dll | C:\Windows\System32\MPRAPI.dll |
| 788 | svchost.exe | \Windows\System32\sfc.dll | 0x72240000 | True | True | True | c:\windows\system32\sfc.dll | c:\windows\system32\sfc.dll | c:\windows\system32\sfc.dll |
| 788 | svchost.exe | \Windows\System32\dsrole.dll | 0x73850000 | True | True | True | C:\Windows\System32\dsrole.dll | C:\Windows\System32\dsrole.dll | C:\Windows\System32\dsrole.dll |
| 788 | svchost.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\System32\profapi.dll | C:\Windows\System32\profapi.dll | C:\Windows\System32\profapi.dll |
| 788 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 788 | svchost.exe | \Windows\System32\devrtl.dll | 0x749c0000 | True | True | True | C:\Windows\System32\devrtl.DLL | C:\Windows\System32\devrtl.DLL | C:\Windows\System32\devrtl.DLL |
| 788 | svchost.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 788 | svchost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\System32\CRYPTSP.dll | C:\Windows\System32\CRYPTSP.dll | C:\Windows\System32\CRYPTSP.dll |
| 788 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 788 | svchost.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | c:\windows\system32\WINNSI.DLL | c:\windows\system32\WINNSI.DLL | c:\windows\system32\WINNSI.DLL |
| 788 | svchost.exe | \Windows\System32\wevtapi.dll | 0x74f60000 | True | True | True | c:\windows\system32\wevtapi.dll | c:\windows\system32\wevtapi.dll | c:\windows\system32\wevtapi.dll |
| 788 | svchost.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\System32\WINSTA.dll | C:\Windows\System32\WINSTA.dll | C:\Windows\System32\WINSTA.dll |
| 788 | svchost.exe | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\System32\USERENV.dll | C:\Windows\System32\USERENV.dll | C:\Windows\System32\USERENV.dll |
| 788 | svchost.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\System32\IPHLPAPI.DLL | C:\Windows\System32\IPHLPAPI.DLL | C:\Windows\System32\IPHLPAPI.DLL |
| 816 | svchost.exe | \Windows\System32\avrt.dll | 0x745a0000 | True | True | True | c:\windows\system32\AVRT.dll | c:\windows\system32\AVRT.dll | c:\windows\system32\AVRT.dll |
| 816 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\system32\svchost.exe | C:\Windows\system32\svchost.exe | |
| 816 | svchost.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | c:\windows\system32\profapi.dll | c:\windows\system32\profapi.dll | c:\windows\system32\profapi.dll |
| 816 | svchost.exe | \Windows\System32\samlib.dll | 0x73ff0000 | True | True | True | C:\Windows\system32\SAMLIB.dll | C:\Windows\system32\SAMLIB.dll | C:\Windows\system32\SAMLIB.dll |
| 816 | svchost.exe | \Windows\System32\wevtapi.dll | 0x74f60000 | True | True | True | c:\windows\system32\wevtapi.dll | c:\windows\system32\wevtapi.dll | c:\windows\system32\wevtapi.dll |
| 816 | svchost.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 816 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 816 | svchost.exe | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL |
| 816 | svchost.exe | \Windows\System32\wbem\NCProv.dll | 0x71820000 | True | True | True | C:\Windows\system32\wbem\ncprov.dll | C:\Windows\system32\wbem\ncprov.dll | C:\Windows\system32\wbem\ncprov.dll |
| 816 | svchost.exe | \Windows\System32\wbem\esscli.dll | 0x71a60000 | True | True | True | C:\Windows\system32\wbem\esscli.dll | C:\Windows\system32\wbem\esscli.dll | C:\Windows\system32\wbem\esscli.dll |
| 816 | svchost.exe | \Windows\System32\wbem\wbemsvc.dll | 0x71a50000 | True | True | True | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll |
| 816 | svchost.exe | \Windows\System32\wmsgapi.dll | 0x75060000 | True | True | True | C:\Windows\system32\WMsgAPI.dll | C:\Windows\system32\WMsgAPI.dll | C:\Windows\system32\WMsgAPI.dll |
| 816 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 816 | svchost.exe | \Windows\System32\ncobjapi.dll | 0x718a0000 | True | True | True | C:\Windows\system32\NCObjAPI.DLL | C:\Windows\system32\NCObjAPI.DLL | C:\Windows\system32\NCObjAPI.DLL |
| 816 | svchost.exe | \Windows\System32\ntdsapi.dll | 0x71bb0000 | True | True | True | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll |
| 816 | svchost.exe | \Windows\System32\wbem\WMIsvc.dll | 0x71d00000 | True | True | True | c:\windows\system32\wbem\wmisvc.dll | c:\windows\system32\wbem\wmisvc.dll | c:\windows\system32\wbem\wmisvc.dll |
| 816 | svchost.exe | \Windows\System32\authz.dll | 0x74f30000 | True | True | True | c:\windows\system32\AUTHZ.dll | c:\windows\system32\AUTHZ.dll | c:\windows\system32\AUTHZ.dll |
| 816 | svchost.exe | \Windows\System32\shsvcs.dll | 0x73540000 | True | True | True | c:\windows\system32\shsvcs.dll | c:\windows\system32\shsvcs.dll | c:\windows\system32\shsvcs.dll |
| 816 | svchost.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 816 | svchost.exe | \Windows\System32\wbem\wmiutils.dll | 0x719a0000 | True | True | True | C:\Windows\system32\wbem\wmiutils.dll | C:\Windows\system32\wbem\wmiutils.dll | C:\Windows\system32\wbem\wmiutils.dll |
| 816 | svchost.exe | \Windows\System32\wbem\repdrvfs.dll | 0x71950000 | True | True | True | C:\Windows\system32\wbem\repdrvfs.dll | C:\Windows\system32\wbem\repdrvfs.dll | C:\Windows\system32\wbem\repdrvfs.dll |
| 816 | svchost.exe | \Windows\System32\vsstrace.dll | 0x71fb0000 | True | True | True | C:\Windows\system32\VssTrace.DLL | C:\Windows\system32\VssTrace.DLL | C:\Windows\system32\VssTrace.DLL |
| 816 | svchost.exe | \Windows\System32\wbem\fastprox.dll | 0x71bd0000 | True | True | True | C:\Windows\system32\wbem\FastProx.dll | C:\Windows\system32\wbem\FastProx.dll | C:\Windows\system32\wbem\FastProx.dll |
| 816 | svchost.exe | \Windows\System32\atl.dll | 0x737f0000 | True | True | True | c:\windows\system32\ATL.DLL | c:\windows\system32\ATL.DLL | c:\windows\system32\ATL.DLL |
| 816 | svchost.exe | \Windows\System32\srvcli.dll | 0x75190000 | True | True | True | c:\windows\system32\srvcli.dll | c:\windows\system32\srvcli.dll | c:\windows\system32\srvcli.dll |
| 816 | svchost.exe | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll |
| 816 | svchost.exe | \Windows\System32\Sens.dll | 0x73640000 | True | True | True | c:\windows\system32\sens.dll | c:\windows\system32\sens.dll | c:\windows\system32\sens.dll |
| 816 | svchost.exe | \Windows\System32\winspool.drv | 0x6f870000 | True | True | True | c:\windows\system32\WINSPOOL.DRV | c:\windows\system32\WINSPOOL.DRV | c:\windows\system32\WINSPOOL.DRV |
| 816 | svchost.exe | \Windows\System32\slc.dll | 0x73840000 | True | True | True | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll |
| 816 | svchost.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll |
| 816 | svchost.exe | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | c:\windows\system32\USERENV.dll | c:\windows\system32\USERENV.dll | c:\windows\system32\USERENV.dll |
| 816 | svchost.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 816 | svchost.exe | \Windows\System32\netapi32.dll | 0x73a70000 | True | True | True | c:\windows\system32\NETAPI32.dll | c:\windows\system32\NETAPI32.dll | c:\windows\system32\NETAPI32.dll |
| 816 | svchost.exe | \Windows\System32\en-US\setupapi.dll.mui | 0x1b0000 | False | False | False | |||
| 816 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 816 | svchost.exe | \Windows\System32\wbemcomn.dll | 0x71ca0000 | True | True | True | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll |
| 816 | svchost.exe | \Windows\System32\esent.dll | 0x6bc20000 | True | True | True | c:\windows\system32\ESENT.dll | c:\windows\system32\ESENT.dll | c:\windows\system32\ESENT.dll |
| 816 | svchost.exe | \Windows\System32\wbem\wbemess.dll | 0x71840000 | True | True | True | C:\Windows\system32\wbem\wbemess.dll | C:\Windows\system32\wbem\wbemess.dll | C:\Windows\system32\wbem\wbemess.dll |
| 816 | svchost.exe | \Windows\System32\ubpm.dll | 0x74a70000 | True | True | True | c:\windows\system32\UBPM.dll | c:\windows\system32\UBPM.dll | c:\windows\system32\UBPM.dll |
| 816 | svchost.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 816 | svchost.exe | \Windows\System32\dsrole.dll | 0x73850000 | True | True | True | C:\Windows\system32\dsrole.dll | C:\Windows\system32\dsrole.dll | C:\Windows\system32\dsrole.dll |
| 816 | svchost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 816 | svchost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 816 | svchost.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 816 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 816 | svchost.exe | \Windows\System32\es.dll | 0x73790000 | True | True | True | C:\Windows\system32\ES.DLL | C:\Windows\system32\ES.DLL | C:\Windows\system32\ES.DLL |
| 816 | svchost.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 816 | svchost.exe | \Windows\System32\rasapi32.dll | 0x72bd0000 | True | True | True | C:\Windows\system32\RasApi32.dll | C:\Windows\system32\RasApi32.dll | C:\Windows\system32\RasApi32.dll |
| 816 | svchost.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | c:\windows\system32\Secur32.dll | c:\windows\system32\Secur32.dll | c:\windows\system32\Secur32.dll |
| 816 | svchost.exe | \Windows\System32\profsvc.dll | 0x73810000 | True | True | True | c:\windows\system32\profsvc.dll | c:\windows\system32\profsvc.dll | c:\windows\system32\profsvc.dll |
| 816 | svchost.exe | \Windows\System32\mspatcha.dll | 0x6ba30000 | True | True | True | c:\windows\system32\mspatcha.dll | c:\windows\system32\mspatcha.dll | c:\windows\system32\mspatcha.dll |
| 816 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 816 | svchost.exe | \Windows\System32\wuaueng.dll | 0x6ba40000 | True | True | True | c:\windows\system32\wuaueng.dll | c:\windows\system32\wuaueng.dll | c:\windows\system32\wuaueng.dll |
| 816 | svchost.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 816 | svchost.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 816 | svchost.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL |
| 816 | svchost.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 816 | svchost.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 816 | svchost.exe | \Windows\System32\mmcss.dll | 0x745b0000 | True | True | True | c:\windows\system32\mmcss.dll | c:\windows\system32\mmcss.dll | c:\windows\system32\mmcss.dll |
| 816 | svchost.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll |
| 816 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 816 | svchost.exe | \Windows\System32\themeservice.dll | 0x737e0000 | True | True | True | c:\windows\system32\themeservice.dll | c:\windows\system32\themeservice.dll | c:\windows\system32\themeservice.dll |
| 816 | svchost.exe | \Windows\System32\cabinet.dll | 0x6bdf0000 | True | True | True | c:\windows\system32\Cabinet.dll | c:\windows\system32\Cabinet.dll | c:\windows\system32\Cabinet.dll |
| 816 | svchost.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 816 | svchost.exe | \Windows\System32\en-US\wuaueng.dll.mui | 0x1250000 | False | False | False | |||
| 816 | svchost.exe | \Windows\System32\gpsvc.dll | 0x73860000 | True | True | True | c:\windows\system32\gpsvc.dll | c:\windows\system32\gpsvc.dll | c:\windows\system32\gpsvc.dll |
| 816 | svchost.exe | \Windows\System32\schedsvc.dll | 0x73480000 | True | True | True | c:\windows\system32\schedsvc.dll | c:\windows\system32\schedsvc.dll | c:\windows\system32\schedsvc.dll |
| 816 | svchost.exe | \Windows\System32\wer.dll | 0x70cc0000 | True | True | True | C:\Windows\system32\wer.dll | C:\Windows\system32\wer.dll | C:\Windows\system32\wer.dll |
| 816 | svchost.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | c:\windows\system32\nlaapi.dll | c:\windows\system32\nlaapi.dll | c:\windows\system32\nlaapi.dll |
| 816 | svchost.exe | \Windows\System32\wiarpc.dll | 0x73720000 | True | True | True | C:\Windows\system32\wiarpc.dll | C:\Windows\system32\wiarpc.dll | C:\Windows\system32\wiarpc.dll |
| 816 | svchost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 816 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 816 | svchost.exe | \Windows\System32\taskcomp.dll | 0x73730000 | True | True | True | C:\Windows\system32\taskcomp.dll | C:\Windows\system32\taskcomp.dll | C:\Windows\system32\taskcomp.dll |
| 816 | svchost.exe | \Windows\System32\pcwum.dll | 0x74950000 | True | True | True | c:\windows\system32\pcwum.dll | c:\windows\system32\pcwum.dll | c:\windows\system32\pcwum.dll |
| 816 | svchost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 816 | svchost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 816 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 816 | svchost.exe | \Windows\System32\aelupsvc.dll | 0x6bdd0000 | True | True | True | c:\windows\system32\aelupsvc.dll | c:\windows\system32\aelupsvc.dll | c:\windows\system32\aelupsvc.dll |
| 816 | svchost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | c:\windows\system32\SSPICLI.DLL | c:\windows\system32\SSPICLI.DLL | c:\windows\system32\SSPICLI.DLL |
| 816 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 816 | svchost.exe | \Windows\System32\netutils.dll | 0x73a60000 | True | True | True | c:\windows\system32\netutils.dll | c:\windows\system32\netutils.dll | c:\windows\system32\netutils.dll |
| 816 | svchost.exe | \Windows\System32\sysntfy.dll | 0x75070000 | True | True | True | c:\windows\system32\SYSNTFY.dll | c:\windows\system32\SYSNTFY.dll | c:\windows\system32\SYSNTFY.dll |
| 816 | svchost.exe | \Windows\System32\xmllite.dll | 0x73c90000 | True | True | True | c:\windows\system32\XmlLite.dll | c:\windows\system32\XmlLite.dll | c:\windows\system32\XmlLite.dll |
| 816 | svchost.exe | \Windows\System32\sxs.dll | 0x752a0000 | True | True | True | C:\Windows\system32\SXS.DLL | C:\Windows\system32\SXS.DLL | C:\Windows\system32\SXS.DLL |
| 816 | svchost.exe | \Windows\System32\wbem\WmiPrvSD.dll | 0x718b0000 | True | True | True | C:\Windows\system32\wbem\wmiprvsd.dll | C:\Windows\system32\wbem\wmiprvsd.dll | C:\Windows\system32\wbem\wmiprvsd.dll |
| 816 | svchost.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 816 | svchost.exe | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\psapi.dll | C:\Windows\system32\psapi.dll | C:\Windows\system32\psapi.dll |
| 816 | svchost.exe | \Windows\System32\en-US\propsys.dll.mui | 0x700000 | False | False | False | |||
| 816 | svchost.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 816 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 816 | svchost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 816 | svchost.exe | \Windows\System32\vssapi.dll | 0x71fc0000 | True | True | True | C:\Windows\system32\VSSAPI.DLL | C:\Windows\system32\VSSAPI.DLL | C:\Windows\system32\VSSAPI.DLL |
| 816 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 816 | svchost.exe | \Windows\System32\PeerDist.dll | 0x73b60000 | True | True | True | C:\Windows\system32\peerdist.dll | C:\Windows\system32\peerdist.dll | C:\Windows\system32\peerdist.dll |
| 816 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 816 | svchost.exe | \Windows\System32\webio.dll | 0x71e90000 | True | True | True | c:\windows\system32\webio.dll | c:\windows\system32\webio.dll | c:\windows\system32\webio.dll |
| 816 | svchost.exe | \Windows\System32\samcli.dll | 0x73a40000 | True | True | True | C:\Windows\system32\samcli.dll | C:\Windows\system32\samcli.dll | C:\Windows\system32\samcli.dll |
| 816 | svchost.exe | \Windows\System32\wbem\wbemcore.dll | 0x71ab0000 | True | True | True | C:\Windows\system32\wbem\wbemcore.dll | C:\Windows\system32\wbem\wbemcore.dll | C:\Windows\system32\wbem\wbemcore.dll |
| 816 | svchost.exe | \Windows\System32\netjoin.dll | 0x74e90000 | True | True | True | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll |
| 816 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 816 | svchost.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL |
| 816 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 816 | svchost.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | c:\windows\system32\GPAPI.dll | c:\windows\system32\GPAPI.dll | c:\windows\system32\GPAPI.dll |
| 816 | svchost.exe | \Windows\System32\rasman.dll | 0x72bb0000 | True | True | True | C:\Windows\system32\rasman.dll | C:\Windows\system32\rasman.dll | C:\Windows\system32\rasman.dll |
| 816 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 816 | svchost.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 816 | svchost.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 816 | svchost.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 816 | svchost.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 816 | svchost.exe | \Windows\System32\ktmw32.dll | 0x73470000 | True | True | True | c:\windows\system32\ktmw32.dll | c:\windows\system32\ktmw32.dll | c:\windows\system32\ktmw32.dll |
| 816 | svchost.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 816 | svchost.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 816 | svchost.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x1ee0000 | False | False | False | |||
| 816 | svchost.exe | \Windows\System32\winhttp.dll | 0x71ee0000 | True | True | True | c:\windows\system32\WINHTTP.dll | c:\windows\system32\WINHTTP.dll | c:\windows\system32\WINHTTP.dll |
| 816 | svchost.exe | \Windows\System32\wkscli.dll | 0x73a50000 | True | True | True | c:\windows\system32\wkscli.dll | c:\windows\system32\wkscli.dll | c:\windows\system32\wkscli.dll |
| 904 | audiodg.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 904 | audiodg.exe | \Windows\System32\en-US\setupapi.dll.mui | 0x4d0000 | False | False | False | |||
| 904 | audiodg.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 904 | audiodg.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 904 | audiodg.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 904 | audiodg.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 904 | audiodg.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 904 | audiodg.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 904 | audiodg.exe | \Windows\System32\MMDevAPI.dll | 0x745d0000 | True | True | True | C:\Windows\system32\MMDevAPI.DLL | C:\Windows\system32\MMDevAPI.DLL | C:\Windows\system32\MMDevAPI.DLL |
| 904 | audiodg.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 904 | audiodg.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 904 | audiodg.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 904 | audiodg.exe | \Windows\System32\WMALFXGFXDSP.dll | 0x70540000 | True | True | True | C:\Windows\system32\WMALFXGFXDSP.dll | C:\Windows\system32\WMALFXGFXDSP.dll | C:\Windows\system32\WMALFXGFXDSP.dll |
| 904 | audiodg.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 904 | audiodg.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 904 | audiodg.exe | \Windows\System32\audiodg.exe | 0xc80000 | True | False | True | C:\Windows\system32\AUDIODG.EXE | C:\Windows\system32\AUDIODG.EXE | |
| 904 | audiodg.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 904 | audiodg.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll |
| 904 | audiodg.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 904 | audiodg.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 904 | audiodg.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 904 | audiodg.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 904 | audiodg.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 904 | audiodg.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 904 | audiodg.exe | \Windows\System32\avrt.dll | 0x745a0000 | True | True | True | C:\Windows\System32\AVRT.dll | C:\Windows\System32\AVRT.dll | C:\Windows\System32\AVRT.dll |
| 904 | audiodg.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 904 | audiodg.exe | \Windows\System32\AudioSes.dll | 0x707d0000 | True | True | True | C:\Windows\System32\audioses.dll | C:\Windows\System32\audioses.dll | C:\Windows\System32\audioses.dll |
| 904 | audiodg.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 904 | audiodg.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 904 | audiodg.exe | \Windows\System32\ksuser.dll | 0x70810000 | True | True | True | C:\Windows\System32\ksuser.dll | C:\Windows\System32\ksuser.dll | C:\Windows\System32\ksuser.dll |
| 904 | audiodg.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 904 | audiodg.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 904 | audiodg.exe | \Windows\System32\AudioEng.dll | 0x70720000 | True | True | True | C:\Windows\System32\audioeng.dll | C:\Windows\System32\audioeng.dll | C:\Windows\System32\audioeng.dll |
| 904 | audiodg.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 904 | audiodg.exe | \Windows\System32\AUDIOKSE.dll | 0x706a0000 | True | True | True | C:\Windows\System32\audiokse.dll | C:\Windows\System32\audiokse.dll | C:\Windows\System32\audiokse.dll |
| 904 | audiodg.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 904 | audiodg.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 904 | audiodg.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 904 | audiodg.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 980 | svchost.exe | \Windows\System32\es.dll | 0x73790000 | True | True | True | c:\windows\system32\es.dll | c:\windows\system32\es.dll | c:\windows\system32\es.dll |
| 980 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\system32\svchost.exe | C:\Windows\system32\svchost.exe | |
| 980 | svchost.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 980 | svchost.exe | \Windows\System32\sxs.dll | 0x752a0000 | True | True | True | C:\Windows\system32\SXS.DLL | C:\Windows\system32\SXS.DLL | C:\Windows\system32\SXS.DLL |
| 980 | svchost.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 980 | svchost.exe | \Windows\System32\en-US\wshtcpip.dll.mui | 0x330000 | False | False | False | |||
| 980 | svchost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 980 | svchost.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL |
| 980 | svchost.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 980 | svchost.exe | \Windows\System32\WSDApi.dll | 0x727a0000 | True | True | True | C:\Windows\system32\wsdapi.dll | C:\Windows\system32\wsdapi.dll | C:\Windows\system32\wsdapi.dll |
| 980 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 980 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 980 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 980 | svchost.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\propsys.dll | C:\Windows\system32\propsys.dll | C:\Windows\system32\propsys.dll |
| 980 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 980 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 980 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 980 | svchost.exe | \Windows\System32\en-US\wship6.dll.mui | 0x380000 | False | False | False | |||
| 980 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 980 | svchost.exe | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll |
| 980 | svchost.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 980 | svchost.exe | \Windows\System32\dhcpcsvc6.dll | 0x71e70000 | True | True | True | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL |
| 980 | svchost.exe | \Windows\System32\netprofm.dll | 0x71080000 | True | True | True | c:\windows\system32\netprofm.dll | c:\windows\system32\netprofm.dll | c:\windows\system32\netprofm.dll |
| 980 | svchost.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 980 | svchost.exe | \Windows\System32\webio.dll | 0x71e90000 | True | True | True | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll |
| 980 | svchost.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 980 | svchost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 980 | svchost.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | c:\windows\system32\nlaapi.dll | c:\windows\system32\nlaapi.dll | c:\windows\system32\nlaapi.dll |
| 980 | svchost.exe | \Windows\System32\msxml6.dll | 0x724e0000 | True | True | True | C:\Windows\System32\msxml6.dll | C:\Windows\System32\msxml6.dll | C:\Windows\System32\msxml6.dll |
| 980 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 980 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 980 | svchost.exe | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL |
| 980 | svchost.exe | \Windows\System32\en-US\netprofm.dll.mui | 0x310000 | False | False | False | |||
| 980 | svchost.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL |
| 980 | svchost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 980 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 980 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 980 | svchost.exe | \Windows\System32\mlang.dll | 0x72770000 | True | True | True | C:\Windows\system32\MLANG.dll | C:\Windows\system32\MLANG.dll | C:\Windows\system32\MLANG.dll |
| 980 | svchost.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll |
| 980 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 980 | svchost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 980 | svchost.exe | \Windows\System32\msxml6r.dll | 0x5a0000 | False | False | False | |||
| 980 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 980 | svchost.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 980 | svchost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 980 | svchost.exe | \Windows\System32\FirewallAPI.dll | 0x747d0000 | True | True | True | C:\Windows\system32\FirewallAPI.dll | C:\Windows\system32\FirewallAPI.dll | C:\Windows\system32\FirewallAPI.dll |
| 980 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 980 | svchost.exe | \Windows\System32\atl.dll | 0x737f0000 | True | True | True | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL |
| 980 | svchost.exe | \Windows\System32\bcrypt.dll | 0x74ed0000 | True | True | True | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll |
| 980 | svchost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 980 | svchost.exe | \Windows\System32\fdPHost.dll | 0x72850000 | True | True | True | c:\windows\system32\fdphost.dll | c:\windows\system32\fdphost.dll | c:\windows\system32\fdphost.dll |
| 980 | svchost.exe | \Windows\System32\nsisvc.dll | 0x73620000 | True | True | True | c:\windows\system32\nsisvc.dll | c:\windows\system32\nsisvc.dll | c:\windows\system32\nsisvc.dll |
| 980 | svchost.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x14d0000 | False | False | False | |||
| 980 | svchost.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 980 | svchost.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 980 | svchost.exe | \Windows\System32\npmproxy.dll | 0x71070000 | True | True | True | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll |
| 980 | svchost.exe | \Windows\System32\ssdpapi.dll | 0x71e80000 | True | True | True | C:\Windows\system32\SSDPAPI.dll | C:\Windows\system32\SSDPAPI.dll | C:\Windows\system32\SSDPAPI.dll |
| 980 | svchost.exe | \Windows\System32\xmllite.dll | 0x73c90000 | True | True | True | C:\Windows\system32\XmlLite.dll | C:\Windows\system32\XmlLite.dll | C:\Windows\system32\XmlLite.dll |
| 980 | svchost.exe | \Windows\System32\webservices.dll | 0x726a0000 | True | True | True | C:\Windows\system32\webservices.dll | C:\Windows\system32\webservices.dll | C:\Windows\system32\webservices.dll |
| 980 | svchost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 980 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 980 | svchost.exe | \Windows\System32\fdProxy.dll | 0x724d0000 | True | True | True | C:\Windows\system32\fdproxy.dll | C:\Windows\system32\fdproxy.dll | C:\Windows\system32\fdproxy.dll |
| 980 | svchost.exe | \Windows\System32\winhttp.dll | 0x71ee0000 | True | True | True | C:\Windows\system32\WINHTTP.dll | C:\Windows\system32\WINHTTP.dll | C:\Windows\system32\WINHTTP.dll |
| 980 | svchost.exe | \Windows\System32\fundisc.dll | 0x72670000 | True | True | True | C:\Windows\system32\FunDisc.dll | C:\Windows\system32\FunDisc.dll | C:\Windows\system32\FunDisc.dll |
| 980 | svchost.exe | \Windows\System32\bcryptprimitives.dll | 0x74aa0000 | True | True | True | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll |
| 980 | svchost.exe | \Program Files\Internet Explorer\ieproxy.dll | 0x70510000 | True | True | True | C:\Program Files\Internet Explorer\ieproxy.dll | C:\Program Files\Internet Explorer\ieproxy.dll | C:\Program Files\Internet Explorer\ieproxy.dll |
| 1112 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\system32\svchost.exe | C:\Windows\system32\svchost.exe | |
| 1112 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1112 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1112 | svchost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 1112 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1112 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1112 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1112 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1112 | svchost.exe | \Windows\System32\slc.dll | 0x73840000 | True | True | True | c:\windows\system32\slc.dll | c:\windows\system32\slc.dll | c:\windows\system32\slc.dll |
| 1112 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1112 | svchost.exe | \Windows\System32\BFE.DLL | 0x73690000 | True | True | True | c:\windows\system32\bfe.dll | c:\windows\system32\bfe.dll | c:\windows\system32\bfe.dll |
| 1112 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1112 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1112 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1112 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1112 | svchost.exe | \Windows\System32\authz.dll | 0x74f30000 | True | True | True | c:\windows\system32\AUTHZ.dll | c:\windows\system32\AUTHZ.dll | c:\windows\system32\AUTHZ.dll |
| 1112 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1112 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1112 | svchost.exe | \Windows\System32\pcwum.dll | 0x74950000 | True | True | True | C:\Windows\system32\pcwum.dll | C:\Windows\system32\pcwum.dll | C:\Windows\system32\pcwum.dll |
| 1112 | svchost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 1112 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1112 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1152 | svchost.exe | \Windows\System32\samcli.dll | 0x73a40000 | True | True | True | C:\Windows\system32\samcli.dll | C:\Windows\system32\samcli.dll | C:\Windows\system32\samcli.dll |
| 1152 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\system32\svchost.exe | C:\Windows\system32\svchost.exe | |
| 1152 | svchost.exe | \Windows\System32\samlib.dll | 0x73ff0000 | True | True | True | C:\Windows\system32\SAMLIB.dll | C:\Windows\system32\SAMLIB.dll | C:\Windows\system32\SAMLIB.dll |
| 1152 | svchost.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 1152 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1152 | svchost.exe | \Windows\System32\SensApi.dll | 0x6be30000 | True | True | True | C:\Windows\system32\SensApi.dll | C:\Windows\system32\SensApi.dll | C:\Windows\system32\SensApi.dll |
| 1152 | svchost.exe | \Windows\System32\PeerDist.dll | 0x73b60000 | True | True | True | C:\Windows\system32\peerdist.dll | C:\Windows\system32\peerdist.dll | C:\Windows\system32\peerdist.dll |
| 1152 | svchost.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 1152 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1152 | svchost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 1152 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1152 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1152 | svchost.exe | \Windows\System32\wevtapi.dll | 0x74f60000 | True | True | True | c:\windows\system32\wevtapi.dll | c:\windows\system32\wevtapi.dll | c:\windows\system32\wevtapi.dll |
| 1152 | svchost.exe | \Windows\System32\vssapi.dll | 0x71fc0000 | True | True | True | C:\Windows\system32\VSSAPI.DLL | C:\Windows\system32\VSSAPI.DLL | C:\Windows\system32\VSSAPI.DLL |
| 1152 | svchost.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll |
| 1152 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1152 | svchost.exe | \Windows\System32\en-US\winhttp.dll.mui | 0x210000 | False | False | False | |||
| 1152 | svchost.exe | \Windows\System32\cabinet.dll | 0x6bdf0000 | True | True | True | C:\Windows\system32\Cabinet.dll | C:\Windows\system32\Cabinet.dll | C:\Windows\system32\Cabinet.dll |
| 1152 | svchost.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 1152 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1152 | svchost.exe | \Windows\System32\cryptnet.dll | 0x6be10000 | True | True | True | C:\Windows\system32\CRYPTNET.dll | C:\Windows\system32\CRYPTNET.dll | C:\Windows\system32\CRYPTNET.dll |
| 1152 | svchost.exe | \Windows\System32\ncsi.dll | 0x71f40000 | True | True | True | c:\windows\system32\ncsi.dll | c:\windows\system32\ncsi.dll | c:\windows\system32\ncsi.dll |
| 1152 | svchost.exe | \Windows\System32\esent.dll | 0x6bc20000 | True | True | True | C:\Windows\system32\ESENT.dll | C:\Windows\system32\ESENT.dll | C:\Windows\system32\ESENT.dll |
| 1152 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1152 | svchost.exe | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll |
| 1152 | svchost.exe | \Windows\System32\wkscli.dll | 0x73a50000 | True | True | True | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll |
| 1152 | svchost.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x10e0000 | False | False | False | |||
| 1152 | svchost.exe | \Windows\System32\dhcpcsvc6.dll | 0x71e70000 | True | True | True | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL |
| 1152 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1152 | svchost.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 1152 | svchost.exe | \Windows\System32\webio.dll | 0x71e90000 | True | True | True | c:\windows\system32\webio.dll | c:\windows\system32\webio.dll | c:\windows\system32\webio.dll |
| 1152 | svchost.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1152 | svchost.exe | \Windows\System32\netjoin.dll | 0x74e90000 | True | True | True | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll |
| 1152 | svchost.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll |
| 1152 | svchost.exe | \Windows\System32\cryptsvc.dll | 0x720e0000 | True | True | True | c:\windows\system32\cryptsvc.dll | c:\windows\system32\cryptsvc.dll | c:\windows\system32\cryptsvc.dll |
| 1152 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1152 | svchost.exe | \Windows\System32\ncrypt.dll | 0x74ef0000 | True | True | True | C:\Windows\system32\ncrypt.dll | C:\Windows\system32\ncrypt.dll | C:\Windows\system32\ncrypt.dll |
| 1152 | svchost.exe | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | c:\windows\system32\dhcpcsvc.DLL | c:\windows\system32\dhcpcsvc.DLL | c:\windows\system32\dhcpcsvc.DLL |
| 1152 | svchost.exe | \Windows\System32\authz.dll | 0x74f30000 | True | True | True | C:\Windows\system32\AUTHZ.dll | C:\Windows\system32\AUTHZ.dll | C:\Windows\system32\AUTHZ.dll |
| 1152 | svchost.exe | \Windows\System32\en-US\crypt32.dll.mui | 0x310000 | False | False | False | |||
| 1152 | svchost.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 1152 | svchost.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 1152 | svchost.exe | \Windows\System32\rasadhlp.dll | 0x73b30000 | True | True | True | C:\Windows\system32\rasadhlp.dll | C:\Windows\system32\rasadhlp.dll | C:\Windows\system32\rasadhlp.dll |
| 1152 | svchost.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 1152 | svchost.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 1152 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1152 | svchost.exe | \Windows\System32\winrnr.dll | 0x73b50000 | True | True | True | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll |
| 1152 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1152 | svchost.exe | \Windows\System32\nlasvc.dll | 0x71f70000 | True | True | True | c:\windows\system32\nlasvc.dll | c:\windows\system32\nlasvc.dll | c:\windows\system32\nlasvc.dll |
| 1152 | svchost.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll |
| 1152 | svchost.exe | \Windows\System32\es.dll | 0x73790000 | True | True | True | C:\Windows\system32\es.dll | C:\Windows\system32\es.dll | C:\Windows\system32\es.dll |
| 1152 | svchost.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 1152 | svchost.exe | \Windows\System32\NapiNSP.dll | 0x73b40000 | True | True | True | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll |
| 1152 | svchost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 1152 | svchost.exe | \Windows\System32\vsstrace.dll | 0x71fb0000 | True | True | True | C:\Windows\system32\VssTrace.DLL | C:\Windows\system32\VssTrace.DLL | C:\Windows\system32\VssTrace.DLL |
| 1152 | svchost.exe | \Windows\System32\devrtl.dll | 0x749c0000 | True | True | True | C:\Windows\system32\DEVRTL.dll | C:\Windows\system32\DEVRTL.dll | C:\Windows\system32\DEVRTL.dll |
| 1152 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1152 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1152 | svchost.exe | \Windows\System32\atl.dll | 0x737f0000 | True | True | True | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL |
| 1152 | svchost.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\secur32.dll | C:\Windows\system32\secur32.dll | C:\Windows\system32\secur32.dll |
| 1152 | svchost.exe | \Windows\System32\bcrypt.dll | 0x74ed0000 | True | True | True | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll |
| 1152 | svchost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 1152 | svchost.exe | \Windows\System32\FWPUCLNT.DLL | 0x73650000 | True | True | True | c:\windows\system32\fwpuclnt.dll | c:\windows\system32\fwpuclnt.dll | c:\windows\system32\fwpuclnt.dll |
| 1152 | svchost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 1152 | svchost.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 1152 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1152 | svchost.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1152 | svchost.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 1152 | svchost.exe | \Windows\System32\netutils.dll | 0x73a60000 | True | True | True | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll |
| 1152 | svchost.exe | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\psapi.dll | C:\Windows\system32\psapi.dll | C:\Windows\system32\psapi.dll |
| 1152 | svchost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1152 | svchost.exe | \Windows\System32\ssdpapi.dll | 0x71e80000 | True | True | True | C:\Windows\system32\ssdpapi.dll | C:\Windows\system32\ssdpapi.dll | C:\Windows\system32\ssdpapi.dll |
| 1152 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1152 | svchost.exe | \Windows\System32\bcryptprimitives.dll | 0x74aa0000 | True | True | True | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll |
| 1152 | svchost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 1152 | svchost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 1152 | svchost.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | c:\windows\system32\WINNSI.DLL | c:\windows\system32\WINNSI.DLL | c:\windows\system32\WINNSI.DLL |
| 1152 | svchost.exe | \Windows\System32\winhttp.dll | 0x71ee0000 | True | True | True | c:\windows\system32\WINHTTP.dll | c:\windows\system32\WINHTTP.dll | c:\windows\system32\WINHTTP.dll |
| 1152 | svchost.exe | \Windows\System32\en-US\dnsapi.dll.mui | 0x300000 | False | False | False | |||
| 1152 | svchost.exe | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 1152 | svchost.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | c:\windows\system32\IPHLPAPI.DLL | c:\windows\system32\IPHLPAPI.DLL | c:\windows\system32\IPHLPAPI.DLL |
| 1448 | dwm.exe | \Windows\System32\dwm.exe | 0x4a0000 | True | False | True | C:\Windows\system32\Dwm.exe | C:\Windows\system32\Dwm.exe | |
| 1448 | dwm.exe | \Windows\System32\dxgi.dll | 0x71650000 | True | True | True | C:\Windows\system32\dxgi.dll | C:\Windows\system32\dxgi.dll | C:\Windows\system32\dxgi.dll |
| 1448 | dwm.exe | \Windows\System32\WindowsCodecs.dll | 0x73b90000 | True | True | True | C:\Windows\system32\WindowsCodecs.dll | C:\Windows\system32\WindowsCodecs.dll | C:\Windows\system32\WindowsCodecs.dll |
| 1448 | dwm.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 1448 | dwm.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 1448 | dwm.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1448 | dwm.exe | \Windows\System32\d3d10_1.dll | 0x71720000 | True | True | True | C:\Windows\system32\d3d10_1.dll | C:\Windows\system32\d3d10_1.dll | C:\Windows\system32\d3d10_1.dll |
| 1448 | dwm.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1448 | dwm.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1448 | dwm.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1448 | dwm.exe | \Windows\System32\dwmapi.dll | 0x73cc0000 | True | True | True | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll |
| 1448 | dwm.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.dll | C:\Windows\system32\IMM32.dll | C:\Windows\system32\IMM32.dll |
| 1448 | dwm.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1448 | dwm.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1448 | dwm.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1448 | dwm.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll |
| 1448 | dwm.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1448 | dwm.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1448 | dwm.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1448 | dwm.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 1448 | dwm.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1448 | dwm.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1448 | dwm.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 1448 | dwm.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1460 | explorer.exe | \Windows\System32\ExplorerFrame.dll | 0x71280000 | True | True | True | C:\Windows\system32\EXPLORERFRAME.dll | C:\Windows\system32\EXPLORERFRAME.dll | C:\Windows\system32\EXPLORERFRAME.dll |
| 1460 | explorer.exe | \Windows\en-US\explorer.exe.mui | 0x60000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\msiltcfg.dll | 0x73b00000 | True | True | True | C:\Windows\system32\msiltcfg.dll | C:\Windows\system32\msiltcfg.dll | C:\Windows\system32\msiltcfg.dll |
| 1460 | explorer.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 1460 | explorer.exe | \Windows\System32\netshell.dll | 0x72f50000 | True | True | True | C:\Windows\System32\netshell.dll | C:\Windows\System32\netshell.dll | C:\Windows\System32\netshell.dll |
| 1460 | explorer.exe | \Windows\System32\wevtapi.dll | 0x74f60000 | True | True | True | C:\Windows\System32\wevtapi.dll | C:\Windows\System32\wevtapi.dll | C:\Windows\System32\wevtapi.dll |
| 1460 | explorer.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\System32\WINNSI.DLL | C:\Windows\System32\WINNSI.DLL | C:\Windows\System32\WINNSI.DLL |
| 1460 | explorer.exe | \Windows\System32\IconCodecService.dll | 0x71190000 | True | True | True | C:\Windows\system32\IconCodecService.dll | C:\Windows\system32\IconCodecService.dll | C:\Windows\system32\IconCodecService.dll |
| 1460 | explorer.exe | \Windows\System32\msacm32.dll | 0x707a0000 | True | True | True | C:\Windows\system32\MSACM32.dll | C:\Windows\system32\MSACM32.dll | C:\Windows\system32\MSACM32.dll |
| 1460 | explorer.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 1460 | explorer.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1460 | explorer.exe | \Windows\System32\EhStorShell.dll | 0x71210000 | True | True | True | C:\Windows\system32\EhStorShell.dll | C:\Windows\system32\EhStorShell.dll | C:\Windows\system32\EhStorShell.dll |
| 1460 | explorer.exe | \Windows\System32\wscapi.dll | 0x71b80000 | True | True | True | C:\Windows\system32\wscapi.dll | C:\Windows\system32\wscapi.dll | C:\Windows\system32\wscapi.dll |
| 1460 | explorer.exe | \Windows\System32\wdmaud.drv | 0x70820000 | True | True | True | C:\Windows\system32\wdmaud.drv | C:\Windows\system32\wdmaud.drv | C:\Windows\system32\wdmaud.drv |
| 1460 | explorer.exe | \Windows\System32\oleacc.dll | 0x6fa50000 | True | True | True | C:\Windows\system32\OLEACC.dll | C:\Windows\system32\OLEACC.dll | C:\Windows\system32\OLEACC.dll |
| 1460 | explorer.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1460 | explorer.exe | \Windows\System32\VBoxMRXNP.dll | 0x708a0000 | True | True | True | C:\Windows\system32\VBoxMRXNP.dll | C:\Windows\system32\VBoxMRXNP.dll | C:\Windows\system32\VBoxMRXNP.dll |
| 1460 | explorer.exe | \Windows\System32\wlanapi.dll | 0x72ad0000 | True | True | True | C:\Windows\system32\Wlanapi.dll | C:\Windows\system32\Wlanapi.dll | C:\Windows\system32\Wlanapi.dll |
| 1460 | explorer.exe | \Windows\System32\taskschd.dll | 0x710e0000 | True | True | True | C:\Windows\system32\taskschd.dll | C:\Windows\system32\taskschd.dll | C:\Windows\system32\taskschd.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\user32.dll.mui | 0x2d00000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\wlanutil.dll | 0x73920000 | True | True | True | C:\Windows\system32\wlanutil.dll | C:\Windows\system32\wlanutil.dll | C:\Windows\system32\wlanutil.dll |
| 1460 | explorer.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 1460 | explorer.exe | \Windows\System32\samlib.dll | 0x73ff0000 | True | True | True | C:\Windows\system32\SAMLIB.dll | C:\Windows\system32\SAMLIB.dll | C:\Windows\system32\SAMLIB.dll |
| 1460 | explorer.exe | \Windows\System32\QUTIL.DLL | 0x72d80000 | True | True | True | C:\Windows\System32\QUtil.dll | C:\Windows\System32\QUtil.dll | C:\Windows\System32\QUtil.dll |
| 1460 | explorer.exe | \Windows\System32\bthprops.cpl | 0x729a0000 | True | True | True | C:\Windows\System32\bthprops.cpl | C:\Windows\System32\bthprops.cpl | C:\Windows\System32\bthprops.cpl |
| 1460 | explorer.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll |
| 1460 | explorer.exe | \Windows\System32\atl.dll | 0x737f0000 | True | True | True | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL |
| 1460 | explorer.exe | \Windows\System32\en-US\MMDevAPI.dll.mui | 0x2e00000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\urlmon.dll | 0x76410000 | True | True | True | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll |
| 1460 | explorer.exe | \Windows\System32\es.dll | 0x73790000 | True | True | True | C:\Windows\system32\es.dll | C:\Windows\system32\es.dll | C:\Windows\system32\es.dll |
| 1460 | explorer.exe | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll |
| 1460 | explorer.exe | \Windows\System32\winspool.drv | 0x6f870000 | True | True | True | C:\Windows\system32\WINSPOOL.DRV | C:\Windows\system32\WINSPOOL.DRV | C:\Windows\system32\WINSPOOL.DRV |
| 1460 | explorer.exe | \Windows\System32\shdocvw.dll | 0x70bc0000 | True | True | True | C:\Windows\System32\shdocvw.dll | C:\Windows\System32\shdocvw.dll | C:\Windows\System32\shdocvw.dll |
| 1460 | explorer.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1460 | explorer.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1460 | explorer.exe | \Windows\System32\cryptui.dll | 0x742e0000 | True | True | True | C:\Windows\system32\CRYPTUI.dll | C:\Windows\system32\CRYPTUI.dll | C:\Windows\system32\CRYPTUI.dll |
| 1460 | explorer.exe | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 1460 | explorer.exe | \Program Files\Internet Explorer\ieproxy.dll | 0x70510000 | True | True | True | C:\Program Files\Internet Explorer\ieproxy.dll | C:\Program Files\Internet Explorer\ieproxy.dll | C:\Program Files\Internet Explorer\ieproxy.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\ActionCenter.dll.mui | 0x2d50000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\shell32.dll.mui | 0x7c0000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\authui.dll | 0x743e0000 | True | True | True | C:\Windows\system32\authui.dll | C:\Windows\system32\authui.dll | C:\Windows\system32\authui.dll |
| 1460 | explorer.exe | \Windows\System32\StructuredQuery.dll | 0x6f9f0000 | True | True | True | C:\Windows\System32\StructuredQuery.dll | C:\Windows\System32\StructuredQuery.dll | C:\Windows\System32\StructuredQuery.dll |
| 1460 | explorer.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1460 | explorer.exe | \Windows\System32\powrprof.dll | 0x74610000 | True | True | True | C:\Windows\system32\POWRPROF.dll | C:\Windows\system32\POWRPROF.dll | C:\Windows\system32\POWRPROF.dll |
| 1460 | explorer.exe | \Windows\System32\thumbcache.dll | 0x70ba0000 | True | True | True | C:\Windows\system32\thumbcache.dll | C:\Windows\system32\thumbcache.dll | C:\Windows\system32\thumbcache.dll |
| 1460 | explorer.exe | \Windows\System32\msftedit.dll | 0x70c20000 | True | True | True | C:\Windows\system32\MsftEdit.dll | C:\Windows\system32\MsftEdit.dll | C:\Windows\system32\MsftEdit.dll |
| 1460 | explorer.exe | \Windows\System32\msi.dll | 0x73230000 | True | True | True | C:\Windows\system32\msi.dll | C:\Windows\system32\msi.dll | C:\Windows\system32\msi.dll |
| 1460 | explorer.exe | \Windows\System32\slc.dll | 0x73840000 | True | True | True | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll |
| 1460 | explorer.exe | \Windows\System32\netprofm.dll | 0x71080000 | True | True | True | C:\Windows\System32\netprofm.dll | C:\Windows\System32\netprofm.dll | C:\Windows\System32\netprofm.dll |
| 1460 | explorer.exe | \Windows\System32\gameux.dll | 0x70d20000 | True | True | True | C:\Windows\System32\gameux.dll | C:\Windows\System32\gameux.dll | C:\Windows\System32\gameux.dll |
| 1460 | explorer.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 1460 | explorer.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 1460 | explorer.exe | \Windows\System32\imageres.dll | 0x3560000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\midimap.dll | 0x70790000 | True | True | True | C:\Windows\system32\midimap.dll | C:\Windows\system32\midimap.dll | C:\Windows\system32\midimap.dll |
| 1460 | explorer.exe | \Windows\System32\pnidui.dll | 0x72da0000 | True | True | True | C:\Windows\System32\pnidui.dll | C:\Windows\System32\pnidui.dll | C:\Windows\System32\pnidui.dll |
| 1460 | explorer.exe | \Windows\System32\FXSAPI.dll | 0x723b0000 | True | True | True | C:\Windows\system32\FXSAPI.dll | C:\Windows\system32\FXSAPI.dll | C:\Windows\system32\FXSAPI.dll |
| 1460 | explorer.exe | \Windows\System32\winmm.dll | 0x709c0000 | True | True | True | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll |
| 1460 | explorer.exe | \Windows\System32\SndVolSSO.dll | 0x73cf0000 | True | True | True | C:\Windows\system32\SndVolSSO.DLL | C:\Windows\system32\SndVolSSO.DLL | C:\Windows\system32\SndVolSSO.DLL |
| 1460 | explorer.exe | \Windows\System32\en-US\batmeter.dll.mui | 0x55e0000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\msls31.dll | 0x70bf0000 | True | True | True | C:\Windows\system32\msls31.dll | C:\Windows\system32\msls31.dll | C:\Windows\system32\msls31.dll |
| 1460 | explorer.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll |
| 1460 | explorer.exe | \Windows\System32\ksuser.dll | 0x70810000 | True | True | True | C:\Windows\system32\ksuser.dll | C:\Windows\system32\ksuser.dll | C:\Windows\system32\ksuser.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\setupapi.dll.mui | 0x330000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\GdiPlus.dll | 0x73e20000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll | C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll | C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll |
| 1460 | explorer.exe | \Windows\System32\samcli.dll | 0x73a40000 | True | True | True | C:\Windows\system32\samcli.dll | C:\Windows\system32\samcli.dll | C:\Windows\system32\samcli.dll |
| 1460 | explorer.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 1460 | explorer.exe | \Windows\System32\hgcpl.dll | 0x72890000 | True | True | True | C:\Windows\System32\hgcpl.dll | C:\Windows\System32\hgcpl.dll | C:\Windows\System32\hgcpl.dll |
| 1460 | explorer.exe | \Windows\System32\provsvc.dll | 0x72860000 | True | True | True | C:\Windows\System32\provsvc.dll | C:\Windows\System32\provsvc.dll | C:\Windows\System32\provsvc.dll |
| 1460 | explorer.exe | \Windows\System32\stobject.dll | 0x73ac0000 | True | True | True | C:\Windows\system32\stobject.dll | C:\Windows\system32\stobject.dll | C:\Windows\system32\stobject.dll |
| 1460 | explorer.exe | \Windows\System32\oleaccrc.dll | 0x50d0000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\pnidui.dll.mui | 0x2cf0000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 1460 | explorer.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\System32\IPHLPAPI.DLL | C:\Windows\System32\IPHLPAPI.DLL | C:\Windows\System32\IPHLPAPI.DLL |
| 1460 | explorer.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 1460 | explorer.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 1460 | explorer.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 1460 | explorer.exe | \Windows\System32\actxprxy.dll | 0x70fa0000 | True | True | True | C:\Windows\system32\actxprxy.dll | C:\Windows\system32\actxprxy.dll | C:\Windows\system32\actxprxy.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\explorerframe.dll.mui | 0x1bc0000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll |
| 1460 | explorer.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 1460 | explorer.exe | \Windows\System32\DXP.dll | 0x731c0000 | True | True | True | C:\Windows\system32\dxp.dll | C:\Windows\system32\dxp.dll | C:\Windows\system32\dxp.dll |
| 1460 | explorer.exe | \Windows\System32\davclnt.dll | 0x70860000 | True | True | True | C:\Windows\System32\davclnt.dll | C:\Windows\System32\davclnt.dll | C:\Windows\System32\davclnt.dll |
| 1460 | explorer.exe | \Windows\System32\dhcpcsvc6.dll | 0x71e70000 | True | True | True | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL |
| 1460 | explorer.exe | \Windows\System32\duser.dll | 0x73d30000 | True | True | True | C:\Windows\system32\DUser.dll | C:\Windows\system32\DUser.dll | C:\Windows\system32\DUser.dll |
| 1460 | explorer.exe | \Windows\System32\ieframe.dll | 0x6fa90000 | True | True | True | C:\Windows\system32\ieframe.DLL | C:\Windows\system32\ieframe.DLL | C:\Windows\system32\ieframe.DLL |
| 1460 | explorer.exe | \Windows\System32\wer.dll | 0x70cc0000 | True | True | True | C:\Windows\System32\wer.dll | C:\Windows\System32\wer.dll | C:\Windows\System32\wer.dll |
| 1460 | explorer.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\System32\nlaapi.dll | C:\Windows\System32\nlaapi.dll | C:\Windows\System32\nlaapi.dll |
| 1460 | explorer.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 1460 | explorer.exe | \Windows\System32\ActionCenter.dll | 0x728e0000 | True | True | True | C:\Windows\System32\Actioncenter.dll | C:\Windows\System32\Actioncenter.dll | C:\Windows\System32\Actioncenter.dll |
| 1460 | explorer.exe | \Windows\System32\PortableDeviceApi.dll | 0x719c0000 | True | True | True | C:\Windows\system32\PortableDeviceApi.dll | C:\Windows\system32\PortableDeviceApi.dll | C:\Windows\system32\PortableDeviceApi.dll |
| 1460 | explorer.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1460 | explorer.exe | \Windows\System32\dwmapi.dll | 0x73cc0000 | True | True | True | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll |
| 1460 | explorer.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1460 | explorer.exe | \Windows\explorer.exe | 0x960000 | True | False | True | C:\Windows\Explorer.EXE | C:\Windows\Explorer.EXE | |
| 1460 | explorer.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1460 | explorer.exe | \Windows\System32\hcproviders.dll | 0x71b90000 | True | True | True | C:\Windows\System32\hcproviders.dll | C:\Windows\System32\hcproviders.dll | C:\Windows\System32\hcproviders.dll |
| 1460 | explorer.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 1460 | explorer.exe | \Windows\System32\ntshrui.dll | 0x711a0000 | True | True | True | C:\Windows\system32\ntshrui.dll | C:\Windows\system32\ntshrui.dll | C:\Windows\system32\ntshrui.dll |
| 1460 | explorer.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 1460 | explorer.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1460 | explorer.exe | \Windows\System32\timedate.cpl | 0x70ff0000 | True | True | True | C:\Windows\system32\timedate.cpl | C:\Windows\system32\timedate.cpl | C:\Windows\system32\timedate.cpl |
| 1460 | explorer.exe | \Windows\System32\en-US\mpr.dll.mui | 0x2dd0000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 1460 | explorer.exe | \Windows\System32\devrtl.dll | 0x749c0000 | True | True | True | C:\Windows\system32\DEVRTL.dll | C:\Windows\system32\DEVRTL.dll | C:\Windows\system32\DEVRTL.dll |
| 1460 | explorer.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1460 | explorer.exe | \Windows\System32\iertutil.dll | 0x76be0000 | True | True | True | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll |
| 1460 | explorer.exe | \Windows\System32\netutils.dll | 0x73a60000 | True | True | True | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll |
| 1460 | explorer.exe | \Windows\System32\npmproxy.dll | 0x71070000 | True | True | True | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll |
| 1460 | explorer.exe | \Windows\System32\AltTab.dll | 0x73aa0000 | True | True | True | C:\Windows\System32\AltTab.dll | C:\Windows\System32\AltTab.dll | C:\Windows\System32\AltTab.dll |
| 1460 | explorer.exe | \Windows\winsxs\x86_microsoft.windows.c..-controls.resources_6595b64144ccf1df_6.0.7600.16385_en-us_581cd2bf5825dde9\comctl32.dll.mui | 0x680000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\xmllite.dll | 0x73c90000 | True | True | True | C:\Windows\System32\XmlLite.dll | C:\Windows\System32\XmlLite.dll | C:\Windows\System32\XmlLite.dll |
| 1460 | explorer.exe | \Windows\System32\sxs.dll | 0x752a0000 | True | True | True | C:\Windows\system32\SXS.DLL | C:\Windows\system32\SXS.DLL | C:\Windows\system32\SXS.DLL |
| 1460 | explorer.exe | \Windows\System32\UIAnimation.dll | 0x73b10000 | True | True | True | C:\Windows\System32\UIAnimation.dll | C:\Windows\System32\UIAnimation.dll | C:\Windows\System32\UIAnimation.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x6070000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1460 | explorer.exe | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL |
| 1460 | explorer.exe | \Windows\System32\PortableDeviceTypes.dll | 0x73930000 | True | True | True | C:\Windows\system32\PortableDeviceTypes.dll | C:\Windows\system32\PortableDeviceTypes.dll | C:\Windows\system32\PortableDeviceTypes.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\netshell.dll.mui | 0x57d0000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 1460 | explorer.exe | \Windows\System32\wwapi.dll | 0x73780000 | True | True | True | C:\Windows\system32\wwapi.dll | C:\Windows\system32\wwapi.dll | C:\Windows\system32\wwapi.dll |
| 1460 | explorer.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1460 | explorer.exe | \Windows\System32\MMDevAPI.dll | 0x745d0000 | True | True | True | C:\Windows\System32\MMDevApi.dll | C:\Windows\System32\MMDevApi.dll | C:\Windows\System32\MMDevApi.dll |
| 1460 | explorer.exe | \Windows\System32\srvcli.dll | 0x75190000 | True | True | True | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll |
| 1460 | explorer.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1460 | explorer.exe | \Windows\System32\mpr.dll | 0x71800000 | True | True | True | C:\Windows\system32\MPR.dll | C:\Windows\system32\MPR.dll | C:\Windows\system32\MPR.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\hcproviders.dll.mui | 0x1f60000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\WPDShServiceObj.dll | 0x73960000 | True | True | True | C:\Windows\system32\wpdshserviceobj.dll | C:\Windows\system32\wpdshserviceobj.dll | C:\Windows\system32\wpdshserviceobj.dll |
| 1460 | explorer.exe | \Windows\System32\ntlanman.dll | 0x70880000 | True | True | True | C:\Windows\System32\ntlanman.dll | C:\Windows\System32\ntlanman.dll | C:\Windows\System32\ntlanman.dll |
| 1460 | explorer.exe | \Windows\System32\netjoin.dll | 0x74e90000 | True | True | True | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll | C:\Windows\system32\netjoin.dll |
| 1460 | explorer.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1460 | explorer.exe | \Windows\System32\Syncreg.dll | 0x73ab0000 | True | True | True | C:\Windows\system32\Syncreg.dll | C:\Windows\system32\Syncreg.dll | C:\Windows\system32\Syncreg.dll |
| 1460 | explorer.exe | \Windows\System32\hid.dll | 0x73ce0000 | True | True | True | C:\Windows\system32\HID.DLL | C:\Windows\system32\HID.DLL | C:\Windows\system32\HID.DLL |
| 1460 | explorer.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.dll | C:\Windows\system32\IMM32.dll | C:\Windows\system32\IMM32.dll |
| 1460 | explorer.exe | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL |
| 1460 | explorer.exe | \Windows\System32\en-US\authui.dll.mui | 0x1f10000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\WindowsCodecs.dll | 0x73b90000 | True | True | True | C:\Windows\system32\WindowsCodecs.dll | C:\Windows\system32\WindowsCodecs.dll | C:\Windows\system32\WindowsCodecs.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\urlmon.dll.mui | 0x5140000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\FXSRESM.dll.mui | 0x5750000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\dui70.dll | 0x73d60000 | True | True | True | C:\Windows\system32\DUI70.dll | C:\Windows\system32\DUI70.dll | C:\Windows\system32\DUI70.dll |
| 1460 | explorer.exe | \Windows\System32\batmeter.dll | 0x73980000 | True | True | True | C:\Windows\system32\BatMeter.dll | C:\Windows\system32\BatMeter.dll | C:\Windows\system32\BatMeter.dll |
| 1460 | explorer.exe | \Windows\System32\avrt.dll | 0x745a0000 | True | True | True | C:\Windows\system32\AVRT.dll | C:\Windows\system32\AVRT.dll | C:\Windows\system32\AVRT.dll |
| 1460 | explorer.exe | \Windows\System32\msacm32.drv | 0x707c0000 | True | True | True | C:\Windows\system32\msacm32.drv | C:\Windows\system32\msacm32.drv | C:\Windows\system32\msacm32.drv |
| 1460 | explorer.exe | \Windows\System32\AudioSes.dll | 0x707d0000 | True | True | True | C:\Windows\system32\AUDIOSES.DLL | C:\Windows\system32\AUDIOSES.DLL | C:\Windows\system32\AUDIOSES.DLL |
| 1460 | explorer.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1460 | explorer.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 1460 | explorer.exe | \Windows\System32\networkexplorer.dll | 0x70a00000 | True | True | True | C:\Windows\system32\NetworkExplorer.dll | C:\Windows\system32\NetworkExplorer.dll | C:\Windows\system32\NetworkExplorer.dll |
| 1460 | explorer.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 1460 | explorer.exe | \Windows\System32\shacct.dll | 0x74010000 | True | True | True | C:\Windows\System32\shacct.dll | C:\Windows\System32\shacct.dll | C:\Windows\System32\shacct.dll |
| 1460 | explorer.exe | \Windows\System32\FXSST.dll | 0x723f0000 | True | True | True | C:\Windows\system32\fxsst.dll | C:\Windows\system32\fxsst.dll | C:\Windows\system32\fxsst.dll |
| 1460 | explorer.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 1460 | explorer.exe | \Windows\System32\davhlpr.dll | 0x70850000 | True | True | True | C:\Windows\System32\DAVHLPR.dll | C:\Windows\System32\DAVHLPR.dll | C:\Windows\System32\DAVHLPR.dll |
| 1460 | explorer.exe | \Windows\System32\QAGENT.DLL | 0x72a50000 | True | True | True | C:\Windows\System32\QAgent.dll | C:\Windows\System32\QAgent.dll | C:\Windows\System32\QAgent.dll |
| 1460 | explorer.exe | \Windows\System32\WWanAPI.dll | 0x72a80000 | True | True | True | C:\Windows\system32\wwanapi.dll | C:\Windows\system32\wwanapi.dll | C:\Windows\system32\wwanapi.dll |
| 1460 | explorer.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 1460 | explorer.exe | \Windows\System32\FXSRESM.dll | 0x722c0000 | True | True | True | C:\Windows\system32\FXSRESM.DLL | C:\Windows\system32\FXSRESM.DLL | C:\Windows\system32\FXSRESM.DLL |
| 1460 | explorer.exe | \Windows\System32\prnfldr.dll | 0x6f8d0000 | True | True | True | C:\Windows\system32\prnfldr.dll | C:\Windows\system32\prnfldr.dll | C:\Windows\system32\prnfldr.dll |
| 1460 | explorer.exe | \Windows\System32\en-US\propsys.dll.mui | 0x1ee0000 | False | False | False | |||
| 1460 | explorer.exe | \Windows\System32\wkscli.dll | 0x73a50000 | True | True | True | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll |
| 1460 | explorer.exe | \Windows\System32\cscapi.dll | 0x717c0000 | True | True | True | C:\Windows\system32\cscapi.dll | C:\Windows\system32\cscapi.dll | C:\Windows\system32\cscapi.dll |
| 1492 | taskhost.exe | \Windows\System32\taskhost.exe | 0x310000 | True | False | True | C:\Windows\system32\taskhost.exe | C:\Windows\system32\taskhost.exe | |
| 1492 | taskhost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1492 | taskhost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1492 | taskhost.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 1492 | taskhost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 1492 | taskhost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1492 | taskhost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1492 | taskhost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1492 | taskhost.exe | \Windows\System32\winmm.dll | 0x709c0000 | True | True | True | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll |
| 1492 | taskhost.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 1492 | taskhost.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x1440000 | False | False | False | |||
| 1492 | taskhost.exe | \Windows\System32\netprofm.dll | 0x71080000 | True | True | True | C:\Windows\System32\netprofm.dll | C:\Windows\System32\netprofm.dll | C:\Windows\System32\netprofm.dll |
| 1492 | taskhost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1492 | taskhost.exe | \Windows\System32\dwmapi.dll | 0x73cc0000 | True | True | True | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll |
| 1492 | taskhost.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\System32\nlaapi.dll | C:\Windows\System32\nlaapi.dll | C:\Windows\System32\nlaapi.dll |
| 1492 | taskhost.exe | \Windows\System32\taskschd.dll | 0x710e0000 | True | True | True | C:\Windows\system32\taskschd.dll | C:\Windows\system32\taskschd.dll | C:\Windows\system32\taskschd.dll |
| 1492 | taskhost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 1492 | taskhost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1492 | taskhost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1492 | taskhost.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1492 | taskhost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1492 | taskhost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1492 | taskhost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1492 | taskhost.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 1492 | taskhost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 1492 | taskhost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1492 | taskhost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1492 | taskhost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1492 | taskhost.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 1492 | taskhost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 1492 | taskhost.exe | \Windows\System32\npmproxy.dll | 0x71070000 | True | True | True | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll |
| 1492 | taskhost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1492 | taskhost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1492 | taskhost.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 1640 | Everything.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1640 | Everything.exe | \Program Files\Everything\Everything.exe | 0x400000 | True | False | True | C:\Program Files\Everything\Everything.exe | C:\Program Files\Everything\Everything.exe | |
| 1640 | Everything.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 1640 | Everything.exe | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll |
| 1640 | Everything.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1640 | Everything.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1640 | Everything.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1640 | Everything.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1640 | Everything.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1640 | Everything.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1640 | Everything.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1640 | Everything.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1640 | Everything.exe | \Windows\System32\comdlg32.dll | 0x76eb0000 | True | True | True | C:\Windows\system32\comdlg32.dll | C:\Windows\system32\comdlg32.dll | C:\Windows\system32\comdlg32.dll |
| 1640 | Everything.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1640 | Everything.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1640 | Everything.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1640 | Everything.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1640 | Everything.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1640 | Everything.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 1640 | Everything.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1640 | Everything.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1640 | Everything.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1640 | Everything.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1640 | Everything.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 1648 | VBoxTray.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1648 | VBoxTray.exe | \Windows\System32\VBoxTray.exe | 0x80000 | True | False | True | C:\Windows\System32\VBoxTray.exe | C:\Windows\System32\VBoxTray.exe | |
| 1648 | VBoxTray.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1648 | VBoxTray.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1648 | VBoxTray.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 1648 | VBoxTray.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1648 | VBoxTray.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1648 | VBoxTray.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1648 | VBoxTray.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1648 | VBoxTray.exe | \Windows\System32\mpr.dll | 0x71800000 | True | True | True | C:\Windows\System32\MPR.dll | C:\Windows\System32\MPR.dll | C:\Windows\System32\MPR.dll |
| 1648 | VBoxTray.exe | \Windows\System32\en-US\mpr.dll.mui | 0x240000 | False | False | False | |||
| 1648 | VBoxTray.exe | \Windows\System32\en-US\user32.dll.mui | 0x60000 | False | False | False | |||
| 1648 | VBoxTray.exe | \Windows\System32\ntlanman.dll | 0x70880000 | True | True | True | C:\Windows\System32\ntlanman.dll | C:\Windows\System32\ntlanman.dll | C:\Windows\System32\ntlanman.dll |
| 1648 | VBoxTray.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\System32\CRYPTBASE.dll | C:\Windows\System32\CRYPTBASE.dll | C:\Windows\System32\CRYPTBASE.dll |
| 1648 | VBoxTray.exe | \Windows\System32\VBoxMRXNP.dll | 0x708a0000 | True | True | True | C:\Windows\system32\VBoxMRXNP.dll | C:\Windows\system32\VBoxMRXNP.dll | C:\Windows\system32\VBoxMRXNP.dll |
| 1648 | VBoxTray.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1648 | VBoxTray.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1648 | VBoxTray.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1648 | VBoxTray.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1648 | VBoxTray.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.DLL | C:\Windows\system32\WTSAPI32.DLL | C:\Windows\system32\WTSAPI32.DLL |
| 1648 | VBoxTray.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1648 | VBoxTray.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1648 | VBoxTray.exe | \Windows\System32\davclnt.dll | 0x70860000 | True | True | True | C:\Windows\System32\davclnt.dll | C:\Windows\System32\davclnt.dll | C:\Windows\System32\davclnt.dll |
| 1648 | VBoxTray.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 1648 | VBoxTray.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1648 | VBoxTray.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1648 | VBoxTray.exe | \Windows\System32\davhlpr.dll | 0x70850000 | True | True | True | C:\Windows\System32\DAVHLPR.dll | C:\Windows\System32\DAVHLPR.dll | C:\Windows\System32\DAVHLPR.dll |
| 1648 | VBoxTray.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\System32\SspiCli.dll | C:\Windows\System32\SspiCli.dll | C:\Windows\System32\SspiCli.dll |
| 1648 | VBoxTray.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1648 | VBoxTray.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1648 | VBoxTray.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\System32\WINSTA.dll | C:\Windows\System32\WINSTA.dll | C:\Windows\System32\WINSTA.dll |
| 1704 | python.exe | \Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\msvcr90.dll | 0x6f940000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll | C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll | C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll |
| 1704 | python.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x5d0000 | False | False | False | |||
| 1704 | python.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1704 | python.exe | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll |
| 1704 | python.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 1704 | python.exe | \Python27\DLLs\_ssl.pyd | 0x10000000 | True | True | True | C:\Python27\DLLs\_ssl.pyd | C:\Python27\DLLs\_ssl.pyd | C:\Python27\DLLs\_ssl.pyd |
| 1704 | python.exe | \Python27\DLLs\_socket.pyd | 0x13a0000 | True | True | True | C:\Python27\DLLs\_socket.pyd | C:\Python27\DLLs\_socket.pyd | C:\Python27\DLLs\_socket.pyd |
| 1704 | python.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1704 | python.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1704 | python.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1704 | python.exe | \Windows\System32\python27.dll | 0x1e000000 | True | True | True | C:\Windows\system32\python27.dll | C:\Windows\system32\python27.dll | C:\Windows\system32\python27.dll |
| 1704 | python.exe | \Windows\System32\NapiNSP.dll | 0x73b40000 | True | True | True | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll |
| 1704 | python.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1704 | python.exe | \Python27\DLLs\pyexpat.pyd | 0x13b0000 | True | True | True | C:\Python27\DLLs\pyexpat.pyd | C:\Python27\DLLs\pyexpat.pyd | C:\Python27\DLLs\pyexpat.pyd |
| 1704 | python.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll |
| 1704 | python.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1704 | python.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1704 | python.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1704 | python.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1704 | python.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1704 | python.exe | \Windows\System32\winrnr.dll | 0x73b50000 | True | True | True | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll |
| 1704 | python.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1704 | python.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1704 | python.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 1704 | python.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1704 | python.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 1704 | python.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 1704 | python.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1704 | python.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1704 | python.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 1704 | python.exe | \Python27\python.exe | 0x1d000000 | True | False | True | C:\Python27\python.exe | C:\Python27\python.exe | |
| 1704 | python.exe | \Python27\DLLs\_hashlib.pyd | 0x1910000 | True | True | True | C:\Python27\DLLs\_hashlib.pyd | C:\Python27\DLLs\_hashlib.pyd | C:\Python27\DLLs\_hashlib.pyd |
| 1704 | python.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 1704 | python.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 1704 | python.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1704 | python.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 1704 | python.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1768 | conhost.exe | \Windows\System32\en-US\conhost.exe.mui | 0x190000 | False | False | False | |||
| 1768 | conhost.exe | \Windows\System32\en-US\user32.dll.mui | 0x1d0000 | False | False | False | |||
| 1768 | conhost.exe | \Windows\System32\conhost.exe | 0x330000 | True | False | True | C:\Windows\system32\conhost.exe | C:\Windows\system32\conhost.exe | |
| 1768 | conhost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1768 | conhost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1768 | conhost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1768 | conhost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1768 | conhost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1768 | conhost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1768 | conhost.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1768 | conhost.exe | \Windows\System32\dwmapi.dll | 0x73cc0000 | True | True | True | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll |
| 1768 | conhost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.dll | C:\Windows\system32\IMM32.dll | C:\Windows\system32\IMM32.dll |
| 1768 | conhost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1768 | conhost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1768 | conhost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1768 | conhost.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 1768 | conhost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1768 | conhost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1768 | conhost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 1768 | conhost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1768 | conhost.exe | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.DLL | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.DLL | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.DLL |
| 1768 | conhost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1768 | conhost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1900 | svchost.exe | \Windows\System32\FDResPub.dll | 0x72840000 | True | True | True | c:\windows\system32\fdrespub.dll | c:\windows\system32\fdrespub.dll | c:\windows\system32\fdrespub.dll |
| 1900 | svchost.exe | \Windows\System32\svchost.exe | 0x220000 | True | False | True | C:\Windows\system32\svchost.exe | C:\Windows\system32\svchost.exe | |
| 1900 | svchost.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | c:\windows\system32\VERSION.dll | c:\windows\system32\VERSION.dll | c:\windows\system32\VERSION.dll |
| 1900 | svchost.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1900 | svchost.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1900 | svchost.exe | \Windows\System32\FntCache.dll | 0x6bf60000 | True | True | True | c:\windows\system32\fntcache.dll | c:\windows\system32\fntcache.dll | c:\windows\system32\fntcache.dll |
| 1900 | svchost.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | c:\windows\system32\WINNSI.DLL | c:\windows\system32\WINNSI.DLL | c:\windows\system32\WINNSI.DLL |
| 1900 | svchost.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 1900 | svchost.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1900 | svchost.exe | \Windows\System32\WSDApi.dll | 0x727a0000 | True | True | True | c:\windows\system32\wsdapi.dll | c:\windows\system32\wsdapi.dll | c:\windows\system32\wsdapi.dll |
| 1900 | svchost.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1900 | svchost.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1900 | svchost.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1900 | svchost.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1900 | svchost.exe | \Windows\System32\msxml6r.dll | 0x210000 | False | False | False | |||
| 1900 | svchost.exe | \Windows\System32\en-US\wship6.dll.mui | 0x260000 | False | False | False | |||
| 1900 | svchost.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1900 | svchost.exe | \Windows\System32\wkscli.dll | 0x73a50000 | True | True | True | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll |
| 1900 | svchost.exe | \Windows\System32\dhcpcsvc6.dll | 0x71e70000 | True | True | True | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL |
| 1900 | svchost.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1900 | svchost.exe | \Windows\System32\webio.dll | 0x71e90000 | True | True | True | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll |
| 1900 | svchost.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1900 | svchost.exe | \Windows\System32\msxml6.dll | 0x724e0000 | True | True | True | C:\Windows\System32\msxml6.dll | C:\Windows\System32\msxml6.dll | C:\Windows\System32\msxml6.dll |
| 1900 | svchost.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1900 | svchost.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1900 | svchost.exe | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL |
| 1900 | svchost.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1900 | svchost.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 1900 | svchost.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1900 | svchost.exe | \Windows\System32\en-US\wshtcpip.dll.mui | 0x250000 | False | False | False | |||
| 1900 | svchost.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1900 | svchost.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1900 | svchost.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 1900 | svchost.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 1900 | svchost.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 1900 | svchost.exe | \Windows\System32\FirewallAPI.dll | 0x747d0000 | True | True | True | c:\windows\system32\FirewallAPI.dll | c:\windows\system32\FirewallAPI.dll | c:\windows\system32\FirewallAPI.dll |
| 1900 | svchost.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1900 | svchost.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 1900 | svchost.exe | \Windows\System32\atl.dll | 0x737f0000 | True | True | True | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL | C:\Windows\system32\ATL.DLL |
| 1900 | svchost.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1900 | svchost.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 1900 | svchost.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0xee0000 | False | False | False | |||
| 1900 | svchost.exe | \Windows\System32\pcwum.dll | 0x74950000 | True | True | True | C:\Windows\system32\pcwum.dll | C:\Windows\system32\pcwum.dll | C:\Windows\system32\pcwum.dll |
| 1900 | svchost.exe | \Windows\System32\ktmw32.dll | 0x73470000 | True | True | True | c:\windows\system32\ktmw32.dll | c:\windows\system32\ktmw32.dll | c:\windows\system32\ktmw32.dll |
| 1900 | svchost.exe | \Windows\System32\xmllite.dll | 0x73c90000 | True | True | True | C:\Windows\system32\XmlLite.dll | C:\Windows\system32\XmlLite.dll | C:\Windows\system32\XmlLite.dll |
| 1900 | svchost.exe | \Windows\System32\webservices.dll | 0x726a0000 | True | True | True | c:\windows\system32\webservices.dll | c:\windows\system32\webservices.dll | c:\windows\system32\webservices.dll |
| 1900 | svchost.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 1900 | svchost.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 1900 | svchost.exe | \Windows\System32\winhttp.dll | 0x71ee0000 | True | True | True | C:\Windows\system32\WINHTTP.dll | C:\Windows\system32\WINHTTP.dll | C:\Windows\system32\WINHTTP.dll |
| 1900 | svchost.exe | \Windows\System32\fundisc.dll | 0x72670000 | True | True | True | C:\Windows\system32\FunDisc.dll | C:\Windows\system32\FunDisc.dll | C:\Windows\system32\FunDisc.dll |
| 1900 | svchost.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | c:\windows\system32\IPHLPAPI.DLL | c:\windows\system32\IPHLPAPI.DLL | c:\windows\system32\IPHLPAPI.DLL |
| 1016 | firefox.exe | \Program Files\Nightly\sandboxbroker.dll | 0x6f610000 | True | True | True | C:\Program Files\Nightly\sandboxbroker.dll | C:\Program Files\Nightly\sandboxbroker.dll | C:\Program Files\Nightly\sandboxbroker.dll |
| 1016 | firefox.exe | \Program Files\Nightly\firefox.exe | 0x70000 | True | False | True | C:\Program Files\Nightly\firefox.exe | C:\Program Files\Nightly\firefox.exe | |
| 1016 | firefox.exe | \Windows\System32\duser.dll | 0x73d30000 | True | True | True | C:\Windows\system32\DUser.dll | C:\Windows\system32\DUser.dll | C:\Windows\system32\DUser.dll |
| 1016 | firefox.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 1016 | firefox.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1016 | firefox.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL |
| 1016 | firefox.exe | \Windows\System32\srvcli.dll | 0x75190000 | True | True | True | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll |
| 1016 | firefox.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 1016 | firefox.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1016 | firefox.exe | \Windows\System32\EhStorShell.dll | 0x71210000 | True | True | True | C:\Windows\system32\EhStorShell.dll | C:\Windows\system32\EhStorShell.dll | C:\Windows\system32\EhStorShell.dll |
| 1016 | firefox.exe | \Windows\System32\mpr.dll | 0x71800000 | True | True | True | C:\Windows\system32\MPR.dll | C:\Windows\system32\MPR.dll | C:\Windows\system32\MPR.dll |
| 1016 | firefox.exe | \Windows\System32\SensApi.dll | 0x6be30000 | True | True | True | C:\Windows\system32\sensapi.dll | C:\Windows\system32\sensapi.dll | C:\Windows\system32\sensapi.dll |
| 1016 | firefox.exe | \Windows\System32\wbem\wbemsvc.dll | 0x71a50000 | True | True | True | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll |
| 1016 | firefox.exe | \Program Files\Nightly\xul.dll | 0x6d290000 | True | True | True | C:\Program Files\Nightly\xul.dll | C:\Program Files\Nightly\xul.dll | C:\Program Files\Nightly\xul.dll |
| 1016 | firefox.exe | \Program Files\Nightly\freebl3.dll | 0x6beb0000 | True | True | True | C:\Program Files\Nightly\freebl3.dll | C:\Program Files\Nightly\freebl3.dll | C:\Program Files\Nightly\freebl3.dll |
| 1016 | firefox.exe | \Windows\System32\ntdsapi.dll | 0x71bb0000 | True | True | True | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll |
| 1016 | firefox.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\urlmon.dll.mui | 0x7d00000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\en-US\wininet.dll.mui | 0x19c0000 | False | False | False | |||
| 1016 | firefox.exe | \Program Files\Nightly\softokn3.dll | 0x6bf30000 | True | True | True | C:\Program Files\Nightly\softokn3.dll | C:\Program Files\Nightly\softokn3.dll | C:\Program Files\Nightly\softokn3.dll |
| 1016 | firefox.exe | \Windows\System32\winrnr.dll | 0x73b50000 | True | True | True | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll |
| 1016 | firefox.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 1016 | firefox.exe | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 1016 | firefox.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll |
| 1016 | firefox.exe | \Windows\System32\wbem\fastprox.dll | 0x71bd0000 | True | True | True | C:\Windows\system32\wbem\fastprox.dll | C:\Windows\system32\wbem\fastprox.dll | C:\Windows\system32\wbem\fastprox.dll |
| 1016 | firefox.exe | \Program Files\Nightly\msvcp120.dll | 0x6f7f0000 | True | True | True | C:\Program Files\Nightly\MSVCP120.dll | C:\Program Files\Nightly\MSVCP120.dll | C:\Program Files\Nightly\MSVCP120.dll |
| 1016 | firefox.exe | \Windows\System32\urlmon.dll | 0x76410000 | True | True | True | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll |
| 1016 | firefox.exe | \Windows\System32\webio.dll | 0x71e90000 | True | True | True | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll |
| 1016 | firefox.exe | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll |
| 1016 | firefox.exe | \Windows\System32\d3d11.dll | 0x6c260000 | True | True | True | C:\Windows\system32\d3d11.dll | C:\Windows\system32\d3d11.dll | C:\Windows\system32\d3d11.dll |
| 1016 | firefox.exe | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL |
| 1016 | firefox.exe | \Windows\System32\bcryptprimitives.dll | 0x74aa0000 | True | True | True | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll |
| 1016 | firefox.exe | \Program Files\Nightly\icuuc52.dll | 0x6d0b0000 | True | True | True | C:\Program Files\Nightly\icuuc52.dll | C:\Program Files\Nightly\icuuc52.dll | C:\Program Files\Nightly\icuuc52.dll |
| 1016 | firefox.exe | \Program Files\Nightly\icudt52.dll | 0x6c6c0000 | True | True | True | C:\Program Files\Nightly\icudt52.dll | C:\Program Files\Nightly\icudt52.dll | C:\Program Files\Nightly\icudt52.dll |
| 1016 | firefox.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 1016 | firefox.exe | \Windows\System32\wsock32.dll | 0x72130000 | True | True | True | C:\Windows\system32\WSOCK32.dll | C:\Windows\system32\WSOCK32.dll | C:\Windows\system32\WSOCK32.dll |
| 1016 | firefox.exe | \Windows\System32\dbghelp.dll | 0x6c590000 | True | True | True | C:\Windows\system32\dbghelp.dll | C:\Windows\system32\dbghelp.dll | C:\Windows\system32\dbghelp.dll |
| 1016 | firefox.exe | \Windows\System32\cscapi.dll | 0x717c0000 | True | True | True | C:\Windows\system32\cscapi.dll | C:\Windows\system32\cscapi.dll | C:\Windows\system32\cscapi.dll |
| 1016 | firefox.exe | \Windows\System32\wininet.dll | 0x76310000 | True | True | True | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll |
| 1016 | firefox.exe | \Windows\System32\wbem\wbemprox.dll | 0x71ba0000 | True | True | True | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll |
| 1016 | firefox.exe | \Windows\System32\slc.dll | 0x73840000 | True | True | True | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll | C:\Windows\system32\slc.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\shdocvw.dll.mui | 0x8460000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\mscms.dll | 0x6c030000 | True | True | True | C:\Windows\system32\mscms.dll | C:\Windows\system32\mscms.dll | C:\Windows\system32\mscms.dll |
| 1016 | firefox.exe | \Windows\System32\netprofm.dll | 0x71080000 | True | True | True | C:\Windows\System32\netprofm.dll | C:\Windows\System32\netprofm.dll | C:\Windows\System32\netprofm.dll |
| 1016 | firefox.exe | \Windows\System32\wbemcomn.dll | 0x71ca0000 | True | True | True | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll |
| 1016 | firefox.exe | \Windows\System32\bcrypt.dll | 0x74ed0000 | True | True | True | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll |
| 1016 | firefox.exe | \Windows\System32\normaliz.dll | 0x76bd0000 | True | True | True | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll |
| 1016 | firefox.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 1016 | firefox.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 1016 | firefox.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 1016 | firefox.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1016 | firefox.exe | \Windows\System32\d3d10warp.dll | 0x6c180000 | True | True | True | C:\Windows\system32\D3D10Warp.dll | C:\Windows\system32\D3D10Warp.dll | C:\Windows\system32\D3D10Warp.dll |
| 1016 | firefox.exe | \Program Files\Nightly\icuin52.dll | 0x6d180000 | True | True | True | C:\Program Files\Nightly\icuin52.dll | C:\Program Files\Nightly\icuin52.dll | C:\Program Files\Nightly\icuin52.dll |
| 1016 | firefox.exe | \Windows\winsxs\x86_microsoft.windows.c..-controls.resources_6595b64144ccf1df_6.0.7600.16385_en-us_581cd2bf5825dde9\comctl32.dll.mui | 0x9da0000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\en-US\wshtcpip.dll.mui | 0x13b0000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\winmm.dll | 0x709c0000 | True | True | True | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll |
| 1016 | firefox.exe | \Windows\System32\rasapi32.dll | 0x72bd0000 | True | True | True | C:\Windows\system32\RASAPI32.dll | C:\Windows\system32\RASAPI32.dll | C:\Windows\system32\RASAPI32.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\propsys.dll.mui | 0x9db0000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1016 | firefox.exe | \Windows\System32\samcli.dll | 0x73a40000 | True | True | True | C:\Windows\system32\SAMCLI.DLL | C:\Windows\system32\SAMCLI.DLL | C:\Windows\system32\SAMCLI.DLL |
| 1016 | firefox.exe | \Windows\System32\ExplorerFrame.dll | 0x71280000 | True | True | True | C:\Windows\system32\explorerframe.dll | C:\Windows\system32\explorerframe.dll | C:\Windows\system32\explorerframe.dll |
| 1016 | firefox.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 1016 | firefox.exe | \Windows\System32\d2d1.dll | 0x6c0b0000 | True | True | True | C:\Windows\system32\d2d1.dll | C:\Windows\system32\d2d1.dll | C:\Windows\system32\d2d1.dll |
| 1016 | firefox.exe | \Windows\System32\winsta.dll | 0x75300000 | True | True | True | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll | C:\Windows\system32\WINSTA.dll |
| 1016 | firefox.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL |
| 1016 | firefox.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 1016 | firefox.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 1016 | firefox.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 1016 | firefox.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 1016 | firefox.exe | \Windows\System32\shdocvw.dll | 0x70bc0000 | True | True | True | C:\Windows\system32\SHDOCVW.dll | C:\Windows\system32\SHDOCVW.dll | C:\Windows\system32\SHDOCVW.dll |
| 1016 | firefox.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\propsys.dll | C:\Windows\system32\propsys.dll | C:\Windows\system32\propsys.dll |
| 1016 | firefox.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1016 | firefox.exe | \Windows\System32\cabinet.dll | 0x6bdf0000 | True | True | True | C:\Windows\system32\Cabinet.dll | C:\Windows\system32\Cabinet.dll | C:\Windows\system32\Cabinet.dll |
| 1016 | firefox.exe | \Windows\System32\NapiNSP.dll | 0x73b40000 | True | True | True | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll |
| 1016 | firefox.exe | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | C:\Windows\system32\Dnsapi.dll | C:\Windows\system32\Dnsapi.dll | C:\Windows\system32\Dnsapi.dll |
| 1016 | firefox.exe | \Program Files\Nightly\mozglue.dll | 0x72250000 | True | True | True | C:\Program Files\Nightly\mozglue.dll | C:\Program Files\Nightly\mozglue.dll | C:\Program Files\Nightly\mozglue.dll |
| 1016 | firefox.exe | \Windows\System32\dhcpcsvc6.dll | 0x71e70000 | True | True | True | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL |
| 1016 | firefox.exe | \Windows\System32\DWrite.dll | 0x6c480000 | True | True | True | C:\Windows\system32\dwrite.dll | C:\Windows\system32\dwrite.dll | C:\Windows\system32\dwrite.dll |
| 1016 | firefox.exe | \Windows\System32\rtutils.dll | 0x73a90000 | True | True | True | C:\Windows\system32\rtutils.dll | C:\Windows\system32\rtutils.dll | C:\Windows\system32\rtutils.dll |
| 1016 | firefox.exe | \Windows\System32\imagehlp.dll | 0x766b0000 | True | True | True | C:\Windows\system32\imagehlp.dll | C:\Windows\system32\imagehlp.dll | C:\Windows\system32\imagehlp.dll |
| 1016 | firefox.exe | \Windows\System32\dwmapi.dll | 0x73cc0000 | True | True | True | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll |
| 1016 | firefox.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll |
| 1016 | firefox.exe | \Windows\System32\ncrypt.dll | 0x74ef0000 | True | True | True | C:\Windows\system32\ncrypt.dll | C:\Windows\system32\ncrypt.dll | C:\Windows\system32\ncrypt.dll |
| 1016 | firefox.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1016 | firefox.exe | \Windows\System32\msimg32.dll | 0x72120000 | True | True | True | C:\Windows\system32\MSIMG32.dll | C:\Windows\system32\MSIMG32.dll | C:\Windows\system32\MSIMG32.dll |
| 1016 | firefox.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x8350000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1016 | firefox.exe | \Windows\System32\WindowsCodecs.dll | 0x73b90000 | True | True | True | C:\Windows\system32\WindowsCodecs.dll | C:\Windows\system32\WindowsCodecs.dll | C:\Windows\system32\WindowsCodecs.dll |
| 1016 | firefox.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 1016 | firefox.exe | \Windows\System32\en-US\dnsapi.dll.mui | 0x61a0000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 1016 | firefox.exe | \Windows\System32\dxgi.dll | 0x71650000 | True | True | True | C:\Windows\system32\dxgi.dll | C:\Windows\system32\dxgi.dll | C:\Windows\system32\dxgi.dll |
| 1016 | firefox.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\crypt32.dll.mui | 0x6350000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 1016 | firefox.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 1016 | firefox.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1016 | firefox.exe | \Program Files\Nightly\nssckbi.dll | 0x6be40000 | True | True | True | C:\Program Files\Nightly\nssckbi.dll | C:\Program Files\Nightly\nssckbi.dll | C:\Program Files\Nightly\nssckbi.dll |
| 1016 | firefox.exe | \Windows\System32\netutils.dll | 0x73a60000 | True | True | True | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll |
| 1016 | firefox.exe | \Windows\System32\npmproxy.dll | 0x71070000 | True | True | True | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll | C:\Windows\System32\npmproxy.dll |
| 1016 | firefox.exe | \Windows\System32\pdh.dll | 0x6c680000 | True | True | True | C:\Windows\system32\pdh.dll | C:\Windows\system32\pdh.dll | C:\Windows\system32\pdh.dll |
| 1016 | firefox.exe | \Windows\System32\devrtl.dll | 0x749c0000 | True | True | True | C:\Windows\system32\DEVRTL.dll | C:\Windows\system32\DEVRTL.dll | C:\Windows\system32\DEVRTL.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\shell32.dll.mui | 0x9ec0000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\FWPUCLNT.DLL | 0x73650000 | True | True | True | C:\Windows\System32\fwpuclnt.dll | C:\Windows\System32\fwpuclnt.dll | C:\Windows\System32\fwpuclnt.dll |
| 1016 | firefox.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\setupapi.dll.mui | 0xf0000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 1016 | firefox.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1016 | firefox.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 1016 | firefox.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1016 | firefox.exe | \Windows\System32\MMDevAPI.dll | 0x745d0000 | True | True | True | C:\Windows\System32\MMDevApi.dll | C:\Windows\System32\MMDevApi.dll | C:\Windows\System32\MMDevApi.dll |
| 1016 | firefox.exe | \Windows\System32\iertutil.dll | 0x76be0000 | True | True | True | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll |
| 1016 | firefox.exe | \Windows\System32\cryptnet.dll | 0x6be10000 | True | True | True | C:\Windows\system32\cryptnet.dll | C:\Windows\system32\cryptnet.dll | C:\Windows\system32\cryptnet.dll |
| 1016 | firefox.exe | \Windows\System32\dui70.dll | 0x73d60000 | True | True | True | C:\Windows\system32\DUI70.dll | C:\Windows\system32\DUI70.dll | C:\Windows\system32\DUI70.dll |
| 1016 | firefox.exe | \Windows\System32\ntshrui.dll | 0x711a0000 | True | True | True | C:\Windows\system32\ntshrui.dll | C:\Windows\system32\ntshrui.dll | C:\Windows\system32\ntshrui.dll |
| 1016 | firefox.exe | \Program Files\Nightly\nss3.dll | 0x6f650000 | True | True | True | C:\Program Files\Nightly\nss3.dll | C:\Program Files\Nightly\nss3.dll | C:\Program Files\Nightly\nss3.dll |
| 1016 | firefox.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1016 | firefox.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1016 | firefox.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1016 | firefox.exe | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL |
| 1016 | firefox.exe | \Program Files\Nightly\nssdbm3.dll | 0x6bf10000 | True | True | True | C:\Program Files\Nightly\nssdbm3.dll | C:\Program Files\Nightly\nssdbm3.dll | C:\Program Files\Nightly\nssdbm3.dll |
| 1016 | firefox.exe | \Windows\System32\rasadhlp.dll | 0x73b30000 | True | True | True | C:\Windows\system32\rasadhlp.dll | C:\Windows\system32\rasadhlp.dll | C:\Windows\system32\rasadhlp.dll |
| 1016 | firefox.exe | \Program Files\Nightly\msvcr120.dll | 0x72140000 | True | True | True | C:\Program Files\Nightly\MSVCR120.dll | C:\Program Files\Nightly\MSVCR120.dll | C:\Program Files\Nightly\MSVCR120.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\user32.dll.mui | 0x97f0000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll |
| 1016 | firefox.exe | \Windows\System32\rasman.dll | 0x72bb0000 | True | True | True | C:\Windows\system32\rasman.dll | C:\Windows\system32\rasman.dll | C:\Windows\system32\rasman.dll |
| 1016 | firefox.exe | \Windows\System32\AudioSes.dll | 0x707d0000 | True | True | True | C:\Windows\system32\AUDIOSES.DLL | C:\Windows\system32\AUDIOSES.DLL | C:\Windows\system32\AUDIOSES.DLL |
| 1016 | firefox.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1016 | firefox.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 1016 | firefox.exe | \Windows\System32\netapi32.dll | 0x73a70000 | True | True | True | C:\Windows\system32\NETAPI32.dll | C:\Windows\system32\NETAPI32.dll | C:\Windows\system32\NETAPI32.dll |
| 1016 | firefox.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 1016 | firefox.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 1016 | firefox.exe | \Windows\System32\en-US\winhttp.dll.mui | 0x8470000 | False | False | False | |||
| 1016 | firefox.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 1016 | firefox.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 1016 | firefox.exe | \Windows\System32\winhttp.dll | 0x71ee0000 | True | True | True | C:\Windows\system32\WINHTTP.dll | C:\Windows\system32\WINHTTP.dll | C:\Windows\system32\WINHTTP.dll |
| 1016 | firefox.exe | \Windows\System32\wkscli.dll | 0x73a50000 | True | True | True | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll |
| 1016 | firefox.exe | \Program Files\Nightly\browser\components\browsercomps.dll | 0x72110000 | True | True | True | C:\Program Files\Nightly\browser\components\browsercomps.dll | C:\Program Files\Nightly\browser\components\browsercomps.dll | C:\Program Files\Nightly\browser\components\browsercomps.dll |
| 1744 | plugin-contain | \Program Files\Nightly\plugin-container.exe | 0x380000 | True | False | True | C:\Program Files\Nightly\plugin-container.exe | C:\Program Files\Nightly\plugin-container.exe | |
| 1744 | plugin-contain | \Windows\System32\en-US\setupapi.dll.mui | 0x80000 | False | False | False | |||
| 1744 | plugin-contain | \Windows\System32\wsock32.dll | 0x72130000 | True | True | True | C:\Windows\system32\WSOCK32.dll | C:\Windows\system32\WSOCK32.dll | C:\Windows\system32\WSOCK32.dll |
| 1744 | plugin-contain | \Windows\System32\NapiNSP.dll | 0x73b40000 | True | True | True | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll |
| 1744 | plugin-contain | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1744 | plugin-contain | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1744 | plugin-contain | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1744 | plugin-contain | \Windows\System32\srvcli.dll | 0x75190000 | True | True | True | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll |
| 1744 | plugin-contain | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1744 | plugin-contain | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 1744 | plugin-contain | \Windows\System32\en-US\wshtcpip.dll.mui | 0x11d0000 | False | False | False | |||
| 1744 | plugin-contain | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1744 | plugin-contain | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1744 | plugin-contain | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 1744 | plugin-contain | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1744 | plugin-contain | \Program Files\Nightly\sandboxbroker.dll | 0x6f610000 | True | True | True | C:\Program Files\Nightly\sandboxbroker.dll | C:\Program Files\Nightly\sandboxbroker.dll | C:\Program Files\Nightly\sandboxbroker.dll |
| 1744 | plugin-contain | \Windows\System32\d3d11.dll | 0x6c260000 | True | True | True | C:\Windows\system32\d3d11.dll | C:\Windows\system32\d3d11.dll | C:\Windows\system32\d3d11.dll |
| 1744 | plugin-contain | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll |
| 1744 | plugin-contain | \Program Files\Nightly\mozglue.dll | 0x72250000 | True | True | True | C:\Program Files\Nightly\mozglue.dll | C:\Program Files\Nightly\mozglue.dll | C:\Program Files\Nightly\mozglue.dll |
| 1744 | plugin-contain | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 1744 | plugin-contain | \Windows\System32\netapi32.dll | 0x73a70000 | True | True | True | C:\Windows\system32\NETAPI32.dll | C:\Windows\system32\NETAPI32.dll | C:\Windows\system32\NETAPI32.dll |
| 1744 | plugin-contain | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1744 | plugin-contain | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1744 | plugin-contain | \Program Files\Nightly\xul.dll | 0x6d290000 | True | True | True | C:\Program Files\Nightly\xul.dll | C:\Program Files\Nightly\xul.dll | C:\Program Files\Nightly\xul.dll |
| 1744 | plugin-contain | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\propsys.dll | C:\Windows\system32\propsys.dll | C:\Windows\system32\propsys.dll |
| 1744 | plugin-contain | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1744 | plugin-contain | \Windows\System32\dwmapi.dll | 0x73cc0000 | True | True | True | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll |
| 1744 | plugin-contain | \Program Files\Nightly\nss3.dll | 0x6f650000 | True | True | True | C:\Program Files\Nightly\nss3.dll | C:\Program Files\Nightly\nss3.dll | C:\Program Files\Nightly\nss3.dll |
| 1744 | plugin-contain | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll |
| 1744 | plugin-contain | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 1744 | plugin-contain | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1744 | plugin-contain | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1744 | plugin-contain | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL |
| 1744 | plugin-contain | \Windows\System32\d3d10warp.dll | 0x6c180000 | True | True | True | C:\Windows\system32\D3D10Warp.dll | C:\Windows\system32\D3D10Warp.dll | C:\Windows\system32\D3D10Warp.dll |
| 1744 | plugin-contain | \Windows\System32\msimg32.dll | 0x72120000 | True | True | True | C:\Windows\system32\MSIMG32.dll | C:\Windows\system32\MSIMG32.dll | C:\Windows\system32\MSIMG32.dll |
| 1744 | plugin-contain | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 1744 | plugin-contain | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 1744 | plugin-contain | \Program Files\Nightly\msvcr120.dll | 0x72140000 | True | True | True | C:\Program Files\Nightly\MSVCR120.dll | C:\Program Files\Nightly\MSVCR120.dll | C:\Program Files\Nightly\MSVCR120.dll |
| 1744 | plugin-contain | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1744 | plugin-contain | \Windows\System32\winrnr.dll | 0x73b50000 | True | True | True | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll |
| 1744 | plugin-contain | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1744 | plugin-contain | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 1744 | plugin-contain | \Program Files\Nightly\icuin52.dll | 0x6d180000 | True | True | True | C:\Program Files\Nightly\icuin52.dll | C:\Program Files\Nightly\icuin52.dll | C:\Program Files\Nightly\icuin52.dll |
| 1744 | plugin-contain | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 1744 | plugin-contain | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 1744 | plugin-contain | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll | C:\Windows\system32\UxTheme.dll |
| 1744 | plugin-contain | \Windows\System32\winmm.dll | 0x709c0000 | True | True | True | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll |
| 1744 | plugin-contain | \Windows\System32\dxgi.dll | 0x71650000 | True | True | True | C:\Windows\system32\dxgi.dll | C:\Windows\system32\dxgi.dll | C:\Windows\system32\dxgi.dll |
| 1744 | plugin-contain | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1744 | plugin-contain | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 1744 | plugin-contain | \Program Files\Nightly\msvcp120.dll | 0x6f7f0000 | True | True | True | C:\Program Files\Nightly\MSVCP120.dll | C:\Program Files\Nightly\MSVCP120.dll | C:\Program Files\Nightly\MSVCP120.dll |
| 1744 | plugin-contain | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 1744 | plugin-contain | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 1744 | plugin-contain | \Windows\System32\mscms.dll | 0x6c030000 | True | True | True | C:\Windows\system32\mscms.dll | C:\Windows\system32\mscms.dll | C:\Windows\system32\mscms.dll |
| 1744 | plugin-contain | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 1744 | plugin-contain | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll |
| 1744 | plugin-contain | \Windows\System32\samcli.dll | 0x73a40000 | True | True | True | C:\Windows\system32\SAMCLI.DLL | C:\Windows\system32\SAMCLI.DLL | C:\Windows\system32\SAMCLI.DLL |
| 1744 | plugin-contain | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 1744 | plugin-contain | \Windows\System32\netutils.dll | 0x73a60000 | True | True | True | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll |
| 1744 | plugin-contain | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL |
| 1744 | plugin-contain | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL |
| 1744 | plugin-contain | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1744 | plugin-contain | \Windows\System32\pdh.dll | 0x6c680000 | True | True | True | C:\Windows\system32\pdh.dll | C:\Windows\system32\pdh.dll | C:\Windows\system32\pdh.dll |
| 1744 | plugin-contain | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 1744 | plugin-contain | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 1744 | plugin-contain | \Program Files\Nightly\icuuc52.dll | 0x6d0b0000 | True | True | True | C:\Program Files\Nightly\icuuc52.dll | C:\Program Files\Nightly\icuuc52.dll | C:\Program Files\Nightly\icuuc52.dll |
| 1744 | plugin-contain | \Program Files\Nightly\icudt52.dll | 0x6c6c0000 | True | True | True | C:\Program Files\Nightly\icudt52.dll | C:\Program Files\Nightly\icudt52.dll | C:\Program Files\Nightly\icudt52.dll |
| 1744 | plugin-contain | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 1744 | plugin-contain | \Windows\System32\wkscli.dll | 0x73a50000 | True | True | True | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll |
| 1744 | plugin-contain | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1744 | plugin-contain | \Windows\System32\d2d1.dll | 0x6c0b0000 | True | True | True | C:\Windows\system32\d2d1.dll | C:\Windows\system32\d2d1.dll | C:\Windows\system32\d2d1.dll |
| 1744 | plugin-contain | \Program Files\Nightly\browser\components\browsercomps.dll | 0x72110000 | True | True | True | C:\Program Files\Nightly\browser\components\browsercomps.dll | C:\Program Files\Nightly\browser\components\browsercomps.dll | C:\Program Files\Nightly\browser\components\browsercomps.dll |
| 3064 | Steam.exe | \Program Files\Steam\SDL2.dll | 0x6b960000 | True | True | True | C:\Program Files\Steam\SDL2.dll | C:\Program Files\Steam\SDL2.dll | C:\Program Files\Steam\SDL2.dll |
| 3064 | Steam.exe | \Windows\System32\en-US\setupapi.dll.mui | 0x130000 | False | False | False | |||
| 3064 | Steam.exe | \Windows\System32\duser.dll | 0x73d30000 | True | True | True | C:\Windows\system32\DUser.dll | C:\Windows\system32\DUser.dll | C:\Windows\system32\DUser.dll |
| 3064 | Steam.exe | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 3064 | Steam.exe | \Program Files\Steam\bin\chromehtml.dll | 0x69d30000 | True | True | True | C:\Program Files\Steam\bin\chromehtml.DLL | C:\Program Files\Steam\bin\chromehtml.DLL | C:\Program Files\Steam\bin\chromehtml.DLL |
| 3064 | Steam.exe | \Windows\System32\msacm32.dll | 0x707a0000 | True | True | True | C:\Windows\system32\MSACM32.dll | C:\Windows\system32\MSACM32.dll | C:\Windows\system32\MSACM32.dll |
| 3064 | Steam.exe | \Program Files\Steam\tier0_s.dll | 0x6c3c0000 | True | True | True | C:\Program Files\Steam\tier0_s.dll | C:\Program Files\Steam\tier0_s.dll | C:\Program Files\Steam\tier0_s.dll |
| 3064 | Steam.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 3064 | Steam.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 3064 | Steam.exe | \Windows\System32\en-US\winmm.dll.mui | 0x6210000 | False | False | False | |||
| 3064 | Steam.exe | \Program Files\Steam\bin\serverbrowser.dll | 0x66f80000 | True | True | True | c:\program files\steam\bin\serverbrowser.DLL | c:\program files\steam\bin\serverbrowser.DLL | c:\program files\steam\bin\serverbrowser.DLL |
| 3064 | Steam.exe | \Windows\System32\wdmaud.drv | 0x70820000 | True | True | True | C:\Windows\system32\wdmaud.drv | C:\Windows\system32\wdmaud.drv | C:\Windows\system32\wdmaud.drv |
| 3064 | Steam.exe | \Windows\System32\wbem\wbemsvc.dll | 0x71a50000 | True | True | True | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll |
| 3064 | Steam.exe | \Windows\System32\dsound.dll | 0x67670000 | True | True | True | C:\Windows\system32\dsound.dll | C:\Windows\system32\dsound.dll | C:\Windows\system32\dsound.dll |
| 3064 | Steam.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\cryptbase.dll | C:\Windows\system32\cryptbase.dll | C:\Windows\system32\cryptbase.dll |
| 3064 | Steam.exe | \Windows\System32\wined3d.dll | 0x668a0000 | True | True | True | C:\Windows\system32\wined3d.dll | C:\Windows\system32\wined3d.dll | C:\Windows\system32\wined3d.dll |
| 3064 | Steam.exe | \Program Files\Steam\bin\filesystem_stdio.dll | 0x69eb0000 | True | True | True | C:\Program Files\Steam\bin\filesystem_stdio.DLL | C:\Program Files\Steam\bin\filesystem_stdio.DLL | C:\Program Files\Steam\bin\filesystem_stdio.DLL |
| 3064 | Steam.exe | \Windows\System32\wlanapi.dll | 0x72ad0000 | True | True | True | C:\Windows\system32\Wlanapi.dll | C:\Windows\system32\Wlanapi.dll | C:\Windows\system32\Wlanapi.dll |
| 3064 | Steam.exe | \Program Files\Steam\dbghelp.dll | 0x676f0000 | True | True | True | C:\Program Files\Steam\dbghelp.dll | C:\Program Files\Steam\dbghelp.dll | C:\Program Files\Steam\dbghelp.dll |
| 3064 | Steam.exe | \Program Files\Steam\Steam.exe | 0xd00000 | True | False | True | C:\Program Files\Steam\Steam.exe | C:\Program Files\Steam\Steam.exe | |
| 3064 | Steam.exe | \Windows\System32\wininet.dll | 0x76310000 | True | True | True | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll |
| 3064 | Steam.exe | \Windows\System32\cabinet.dll | 0x6bdf0000 | True | True | True | C:\Windows\system32\Cabinet.dll | C:\Windows\system32\Cabinet.dll | C:\Windows\system32\Cabinet.dll |
| 3064 | Steam.exe | \Windows\System32\authz.dll | 0x74f30000 | True | True | True | C:\Windows\system32\AUTHZ.dll | C:\Windows\system32\AUTHZ.dll | C:\Windows\system32\AUTHZ.dll |
| 3064 | Steam.exe | \Windows\System32\winrnr.dll | 0x73b50000 | True | True | True | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll | C:\Windows\System32\winrnr.dll |
| 3064 | Steam.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 3064 | Steam.exe | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 3064 | Steam.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 3064 | Steam.exe | \Windows\System32\en-US\dinput8.dll.mui | 0x75c0000 | False | False | False | |||
| 3064 | Steam.exe | \Windows\System32\wbem\fastprox.dll | 0x71bd0000 | True | True | True | C:\Windows\system32\wbem\fastprox.dll | C:\Windows\system32\wbem\fastprox.dll | C:\Windows\system32\wbem\fastprox.dll |
| 3064 | Steam.exe | \Program Files\Steam\icuuc.dll | 0x6a7f0000 | True | True | True | C:\Program Files\Steam\icuuc.dll | C:\Program Files\Steam\icuuc.dll | C:\Program Files\Steam\icuuc.dll |
| 3064 | Steam.exe | \Windows\System32\VBoxD3D9.dll | 0x67560000 | True | True | True | C:\Windows\system32\VBoxD3D9.dll | C:\Windows\system32\VBoxD3D9.dll | C:\Windows\system32\VBoxD3D9.dll |
| 3064 | Steam.exe | \Windows\System32\webio.dll | 0x71e90000 | True | True | True | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll |
| 3064 | Steam.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 3064 | Steam.exe | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll |
| 3064 | Steam.exe | \Windows\System32\comdlg32.dll | 0x76eb0000 | True | True | True | C:\Windows\system32\COMDLG32.dll | C:\Windows\system32\COMDLG32.dll | C:\Windows\system32\COMDLG32.dll |
| 3064 | Steam.exe | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\psapi.dll | C:\Windows\system32\psapi.dll | C:\Windows\system32\psapi.dll |
| 3064 | Steam.exe | \Windows\System32\bcryptprimitives.dll | 0x74aa0000 | True | True | True | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll | C:\Windows\system32\bcryptprimitives.dll |
| 3064 | Steam.exe | \Windows\System32\VBoxOGLcrutil.dll | 0x66cd0000 | True | True | True | C:\Windows\system32\VBoxOGLcrutil.dll | C:\Windows\system32\VBoxOGLcrutil.dll | C:\Windows\system32\VBoxOGLcrutil.dll |
| 3064 | Steam.exe | \Windows\System32\ddraw.dll | 0x69ee0000 | True | True | True | C:\Windows\system32\DDRAW.dll | C:\Windows\system32\DDRAW.dll | C:\Windows\system32\DDRAW.dll |
| 3064 | Steam.exe | \Windows\System32\wlanutil.dll | 0x73920000 | True | True | True | C:\Windows\system32\wlanutil.dll | C:\Windows\system32\wlanutil.dll | C:\Windows\system32\wlanutil.dll |
| 3064 | Steam.exe | \Windows\System32\en-US\shell32.dll.mui | 0x4510000 | False | False | False | |||
| 3064 | Steam.exe | \Windows\System32\VBoxOGLpackspu.dll | 0x66b20000 | True | True | True | C:\Windows\system32\VBoxOGLpackspu.dll | C:\Windows\system32\VBoxOGLpackspu.dll | C:\Windows\system32\VBoxOGLpackspu.dll |
| 3064 | Steam.exe | \Windows\System32\wsock32.dll | 0x72130000 | True | True | True | C:\Windows\system32\WSOCK32.dll | C:\Windows\system32\WSOCK32.dll | C:\Windows\system32\WSOCK32.dll |
| 3064 | Steam.exe | \Windows\System32\VBoxOGL.dll | 0x66740000 | True | True | True | C:\Windows\system32\VBoxOGL.dll | C:\Windows\system32\VBoxOGL.dll | C:\Windows\system32\VBoxOGL.dll |
| 3064 | Steam.exe | \Windows\System32\FirewallAPI.dll | 0x747d0000 | True | True | True | C:\Windows\system32\FirewallAPI.dll | C:\Windows\system32\FirewallAPI.dll | C:\Windows\system32\FirewallAPI.dll |
| 3064 | Steam.exe | \Program Files\Steam\SteamUI.dll | 0x6af80000 | True | True | True | C:\Program Files\Steam\steamui.dll | C:\Program Files\Steam\steamui.dll | C:\Program Files\Steam\steamui.dll |
| 3064 | Steam.exe | \Program Files\Steam\crashhandler.dll | 0x71590000 | True | True | True | C:\Program Files\Steam\crashhandler.dll | C:\Program Files\Steam\crashhandler.dll | C:\Program Files\Steam\crashhandler.dll |
| 3064 | Steam.exe | \Windows\System32\wbem\wbemprox.dll | 0x71ba0000 | True | True | True | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll |
| 3064 | Steam.exe | \Windows\System32\msacm32.drv | 0x707c0000 | True | True | True | C:\Windows\system32\msacm32.drv | C:\Windows\system32\msacm32.drv | C:\Windows\system32\msacm32.drv |
| 3064 | Steam.exe | \Program Files\Steam\steamclient.dll | 0x38000000 | True | True | True | C:\Program Files\Steam\steamclient.dll | C:\Program Files\Steam\steamclient.dll | C:\Program Files\Steam\steamclient.dll |
| 3064 | Steam.exe | \Windows\System32\powrprof.dll | 0x74610000 | True | True | True | C:\Windows\system32\POWRPROF.dll | C:\Windows\system32\POWRPROF.dll | C:\Windows\system32\POWRPROF.dll |
| 3064 | Steam.exe | \Windows\System32\wbemcomn.dll | 0x71ca0000 | True | True | True | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll |
| 3064 | Steam.exe | \Windows\System32\bcrypt.dll | 0x74ed0000 | True | True | True | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll | C:\Windows\system32\bcrypt.dll |
| 3064 | Steam.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 3064 | Steam.exe | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 3064 | Steam.exe | \Windows\System32\gameux.dll | 0x70d20000 | True | True | True | C:\Windows\System32\gameux.dll | C:\Windows\System32\gameux.dll | C:\Windows\System32\gameux.dll |
| 3064 | Steam.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 3064 | Steam.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 3064 | Steam.exe | \Program Files\Steam\libavformat-56.dll | 0x6a180000 | True | True | True | C:\Program Files\Steam\libavformat-56.dll | C:\Program Files\Steam\libavformat-56.dll | C:\Program Files\Steam\libavformat-56.dll |
| 3064 | Steam.exe | \Windows\System32\midimap.dll | 0x70790000 | True | True | True | C:\Windows\system32\midimap.dll | C:\Windows\system32\midimap.dll | C:\Windows\system32\midimap.dll |
| 3064 | Steam.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 3064 | Steam.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 3064 | Steam.exe | \Windows\System32\winmm.dll | 0x709c0000 | True | True | True | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll |
| 3064 | Steam.exe | \Windows\System32\opengl32.dll | 0x69fd0000 | True | True | True | C:\Windows\system32\OPENGL32.dll | C:\Windows\system32\OPENGL32.dll | C:\Windows\system32\OPENGL32.dll |
| 3064 | Steam.exe | \Program Files\Steam\libavcodec-56.dll | 0x6a200000 | True | True | True | C:\Program Files\Steam\libavcodec-56.dll | C:\Program Files\Steam\libavcodec-56.dll | C:\Program Files\Steam\libavcodec-56.dll |
| 3064 | Steam.exe | \Program Files\Steam\bin\steamservice.dll | 0x67810000 | True | True | True | C:\Program Files\Steam\bin\steamservice.dll | C:\Program Files\Steam\bin\steamservice.dll | C:\Program Files\Steam\bin\steamservice.dll |
| 3064 | Steam.exe | \Windows\System32\SensApi.dll | 0x6be30000 | True | True | True | C:\Windows\system32\SensApi.dll | C:\Windows\system32\SensApi.dll | C:\Windows\system32\SensApi.dll |
| 3064 | Steam.exe | \Windows\winsxs\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\GdiPlus.dll | 0x73e20000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll | C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll | C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll |
| 3064 | Steam.exe | \Program Files\Steam\libavresample-2.dll | 0x6a120000 | True | True | True | C:\Program Files\Steam\libavresample-2.dll | C:\Program Files\Steam\libavresample-2.dll | C:\Program Files\Steam\libavresample-2.dll |
| 3064 | Steam.exe | \Windows\System32\VBoxOGLfeedbackspu.dll | 0x66a40000 | True | True | True | C:\Windows\system32\VBoxOGLfeedbackspu.dll | C:\Windows\system32\VBoxOGLfeedbackspu.dll | C:\Windows\system32\VBoxOGLfeedbackspu.dll |
| 3064 | Steam.exe | \Windows\System32\ExplorerFrame.dll | 0x71280000 | True | True | True | C:\Windows\system32\explorerframe.dll | C:\Windows\system32\explorerframe.dll | C:\Windows\system32\explorerframe.dll |
| 3064 | Steam.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 3064 | Steam.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 3064 | Steam.exe | \Windows\System32\glu32.dll | 0x71560000 | True | True | True | C:\Windows\system32\GLU32.dll | C:\Windows\system32\GLU32.dll | C:\Windows\system32\GLU32.dll |
| 3064 | Steam.exe | \Windows\System32\dinput8.dll | 0x67530000 | True | True | True | C:\Windows\System32\dinput8.dll | C:\Windows\System32\dinput8.dll | C:\Windows\System32\dinput8.dll |
| 3064 | Steam.exe | \Windows\System32\NapiNSP.dll | 0x73b40000 | True | True | True | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll | C:\Windows\system32\napinsp.dll |
| 3064 | Steam.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x5d70000 | False | False | False | |||
| 3064 | Steam.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 3064 | Steam.exe | \Windows\System32\actxprxy.dll | 0x70fa0000 | True | True | True | C:\Windows\system32\actxprxy.dll | C:\Windows\system32\actxprxy.dll | C:\Windows\system32\actxprxy.dll |
| 3064 | Steam.exe | \Windows\System32\wer.dll | 0x70cc0000 | True | True | True | C:\Windows\System32\wer.dll | C:\Windows\System32\wer.dll | C:\Windows\System32\wer.dll |
| 3064 | Steam.exe | \Windows\System32\VBoxOGLpassthroughspu.dll | 0x675b0000 | True | True | True | C:\Windows\system32\VBoxOGLpassthroughspu.dll | C:\Windows\system32\VBoxOGLpassthroughspu.dll | C:\Windows\system32\VBoxOGLpassthroughspu.dll |
| 3064 | Steam.exe | \Windows\System32\ksuser.dll | 0x70810000 | True | True | True | C:\Windows\system32\ksuser.dll | C:\Windows\system32\ksuser.dll | C:\Windows\system32\ksuser.dll |
| 3064 | Steam.exe | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll |
| 3064 | Steam.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 3064 | Steam.exe | \Program Files\Steam\bin\vgui2_s.dll | 0x69df0000 | True | True | True | C:\Program Files\Steam\bin\vgui2_s.DLL | C:\Program Files\Steam\bin\vgui2_s.DLL | C:\Program Files\Steam\bin\vgui2_s.DLL |
| 3064 | Steam.exe | \Program Files\Steam\libavutil-54.dll | 0x6c340000 | True | True | True | C:\Program Files\Steam\libavutil-54.dll | C:\Program Files\Steam\libavutil-54.dll | C:\Program Files\Steam\libavutil-54.dll |
| 3064 | Steam.exe | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll |
| 3064 | Steam.exe | \Windows\System32\dhcpcsvc6.dll | 0x71e70000 | True | True | True | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL |
| 3064 | Steam.exe | \Windows\System32\DWrite.dll | 0x6c480000 | True | True | True | C:\Windows\system32\DWrite.dll | C:\Windows\system32\DWrite.dll | C:\Windows\system32\DWrite.dll |
| 3064 | Steam.exe | \Program Files\Steam\libswscale-3.dll | 0x6a0a0000 | True | True | True | C:\Program Files\Steam\libswscale-3.dll | C:\Program Files\Steam\libswscale-3.dll | C:\Program Files\Steam\libswscale-3.dll |
| 3064 | Steam.exe | \Windows\System32\imagehlp.dll | 0x766b0000 | True | True | True | C:\Windows\system32\imagehlp.dll | C:\Windows\system32\imagehlp.dll | C:\Windows\system32\imagehlp.dll |
| 3064 | Steam.exe | \Windows\System32\dwmapi.dll | 0x73cc0000 | True | True | True | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll |
| 3064 | Steam.exe | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll |
| 3064 | Steam.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 3064 | Steam.exe | \Windows\System32\ncrypt.dll | 0x74ef0000 | True | True | True | C:\Windows\system32\ncrypt.dll | C:\Windows\system32\ncrypt.dll | C:\Windows\system32\ncrypt.dll |
| 3064 | Steam.exe | \Windows\System32\urlmon.dll | 0x76410000 | True | True | True | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll |
| 3064 | Steam.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 3064 | Steam.exe | \Windows\System32\msimg32.dll | 0x72120000 | True | True | True | C:\Windows\system32\MSIMG32.dll | C:\Windows\system32\MSIMG32.dll | C:\Windows\system32\MSIMG32.dll |
| 3064 | Steam.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 3064 | Steam.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 3064 | Steam.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 3064 | Steam.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 3064 | Steam.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 3064 | Steam.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 3064 | Steam.exe | \Windows\System32\VBoxOGLerrorspu.dll | 0x675d0000 | True | True | True | C:\Windows\system32\VBoxOGLerrorspu.dll | C:\Windows\system32\VBoxOGLerrorspu.dll | C:\Windows\system32\VBoxOGLerrorspu.dll |
| 3064 | Steam.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 3064 | Steam.exe | \Windows\System32\devrtl.dll | 0x749c0000 | True | True | True | C:\Windows\system32\DEVRTL.dll | C:\Windows\system32\DEVRTL.dll | C:\Windows\system32\DEVRTL.dll |
| 3064 | Steam.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 3064 | Steam.exe | \Windows\System32\en-US\wdmaud.drv.mui | 0x680000 | False | False | False | |||
| 3064 | Steam.exe | \Windows\System32\xmllite.dll | 0x73c90000 | True | True | True | C:\Windows\System32\XmlLite.dll | C:\Windows\System32\XmlLite.dll | C:\Windows\System32\XmlLite.dll |
| 3064 | Steam.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 3064 | Steam.exe | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL |
| 3064 | Steam.exe | \Windows\System32\en-US\winhttp.dll.mui | 0x7700000 | False | False | False | |||
| 3064 | Steam.exe | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 3064 | Steam.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 3064 | Steam.exe | \Windows\System32\PeerDist.dll | 0x73b60000 | True | True | True | C:\Windows\system32\peerdist.dll | C:\Windows\system32\peerdist.dll | C:\Windows\system32\peerdist.dll |
| 3064 | Steam.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 3064 | Steam.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 3064 | Steam.exe | \Windows\System32\MMDevAPI.dll | 0x745d0000 | True | True | True | C:\Windows\system32\MMDevAPI.DLL | C:\Windows\system32\MMDevAPI.DLL | C:\Windows\system32\MMDevAPI.DLL |
| 3064 | Steam.exe | \Windows\System32\iertutil.dll | 0x76be0000 | True | True | True | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll |
| 3064 | Steam.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 3064 | Steam.exe | \Windows\System32\cryptnet.dll | 0x6be10000 | True | True | True | C:\Windows\system32\cryptnet.dll | C:\Windows\system32\cryptnet.dll | C:\Windows\system32\cryptnet.dll |
| 3064 | Steam.exe | \Program Files\Steam\vstdlib_s.dll | 0x71760000 | True | True | True | C:\Program Files\Steam\vstdlib_s.dll | C:\Program Files\Steam\vstdlib_s.dll | C:\Program Files\Steam\vstdlib_s.dll |
| 3064 | Steam.exe | \Windows\System32\FWPUCLNT.DLL | 0x73650000 | True | True | True | C:\Windows\System32\fwpuclnt.dll | C:\Windows\System32\fwpuclnt.dll | C:\Windows\System32\fwpuclnt.dll |
| 3064 | Steam.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 3064 | Steam.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 3064 | Steam.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll |
| 3064 | Steam.exe | \Program Files\Steam\v8.dll | 0x6aab0000 | True | True | True | C:\Program Files\Steam\v8.dll | C:\Program Files\Steam\v8.dll | C:\Program Files\Steam\v8.dll |
| 3064 | Steam.exe | \Windows\System32\hid.dll | 0x73ce0000 | True | True | True | C:\Windows\system32\hid.dll | C:\Windows\system32\hid.dll | C:\Windows\system32\hid.dll |
| 3064 | Steam.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 3064 | Steam.exe | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL |
| 3064 | Steam.exe | \Windows\System32\normaliz.dll | 0x76bd0000 | True | True | True | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll |
| 3064 | Steam.exe | \Program Files\Steam\video.dll | 0x6a520000 | True | True | True | C:\Program Files\Steam\video.dll | C:\Program Files\Steam\video.dll | C:\Program Files\Steam\video.dll |
| 3064 | Steam.exe | \Windows\System32\rasadhlp.dll | 0x73b30000 | True | True | True | C:\Windows\system32\rasadhlp.dll | C:\Windows\system32\rasadhlp.dll | C:\Windows\system32\rasadhlp.dll |
| 3064 | Steam.exe | \Program Files\Steam\bin\friendsui.dll | 0x67140000 | True | True | True | c:\program files\steam\bin\friendsui.DLL | c:\program files\steam\bin\friendsui.DLL | c:\program files\steam\bin\friendsui.DLL |
| 3064 | Steam.exe | \Windows\System32\dciman32.dll | 0x71750000 | True | True | True | C:\Windows\system32\DCIMAN32.dll | C:\Windows\system32\DCIMAN32.dll | C:\Windows\system32\DCIMAN32.dll |
| 3064 | Steam.exe | \Windows\System32\dui70.dll | 0x73d60000 | True | True | True | C:\Windows\system32\DUI70.dll | C:\Windows\system32\DUI70.dll | C:\Windows\system32\DUI70.dll |
| 3064 | Steam.exe | \Windows\System32\gpapi.dll | 0x74980000 | True | True | True | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll | C:\Windows\system32\GPAPI.dll |
| 3064 | Steam.exe | \Program Files\Steam\bin\xinput1_3.dll | 0x75a0000 | True | True | True | C:\Program Files\Steam\bin\XInput1_3.dll | C:\Program Files\Steam\bin\XInput1_3.dll | C:\Program Files\Steam\bin\XInput1_3.dll |
| 3064 | Steam.exe | \Windows\System32\ntdsapi.dll | 0x71bb0000 | True | True | True | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll |
| 3064 | Steam.exe | \Windows\System32\AudioSes.dll | 0x707d0000 | True | True | True | C:\Windows\system32\AUDIOSES.DLL | C:\Windows\system32\AUDIOSES.DLL | C:\Windows\system32\AUDIOSES.DLL |
| 3064 | Steam.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 3064 | Steam.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 3064 | Steam.exe | \Windows\System32\en-US\MMDevAPI.dll.mui | 0xa00000 | False | False | False | |||
| 3064 | Steam.exe | \Windows\System32\en-US\crypt32.dll.mui | 0x75f0000 | False | False | False | |||
| 3064 | Steam.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 3064 | Steam.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 3064 | Steam.exe | \Windows\System32\avrt.dll | 0x745a0000 | True | True | True | C:\Windows\system32\AVRT.dll | C:\Windows\system32\AVRT.dll | C:\Windows\system32\AVRT.dll |
| 3064 | Steam.exe | \Program Files\Steam\icui18n.dll | 0x6a920000 | True | True | True | C:\Program Files\Steam\icui18n.dll | C:\Program Files\Steam\icui18n.dll | C:\Program Files\Steam\icui18n.dll |
| 3064 | Steam.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 3064 | Steam.exe | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL |
| 3064 | Steam.exe | \Windows\System32\winhttp.dll | 0x71ee0000 | True | True | True | C:\Windows\system32\winhttp.dll | C:\Windows\system32\winhttp.dll | C:\Windows\system32\winhttp.dll |
| 3108 | steamwebhelper | \Program Files\Steam\bin\libcef.dll | 0x67b90000 | True | True | True | C:\Program Files\Steam\bin\libcef.dll | C:\Program Files\Steam\bin\libcef.dll | C:\Program Files\Steam\bin\libcef.dll |
| 3108 | steamwebhelper | \Windows\System32\oleaccrc.dll | 0x1c0000 | False | False | False | |||
| 3108 | steamwebhelper | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 3108 | steamwebhelper | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 3108 | steamwebhelper | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll |
| 3108 | steamwebhelper | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 3108 | steamwebhelper | \Windows\System32\wship6.dll | 0x74d70000 | True | True | True | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll | C:\Windows\System32\wship6.dll |
| 3108 | steamwebhelper | \Windows\System32\en-US\KernelBase.dll.mui | 0x2780000 | False | False | False | |||
| 3108 | steamwebhelper | \Program Files\Steam\crashhandler.dll | 0x71590000 | True | True | True | C:\Program Files\Steam\crashhandler.dll | C:\Program Files\Steam\crashhandler.dll | C:\Program Files\Steam\crashhandler.dll |
| 3108 | steamwebhelper | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 3108 | steamwebhelper | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 3108 | steamwebhelper | \Windows\System32\propsys.dll | 0x741d0000 | True | True | True | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll | C:\Windows\system32\PROPSYS.dll |
| 3108 | steamwebhelper | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 3108 | steamwebhelper | \Windows\System32\iertutil.dll | 0x76be0000 | True | True | True | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll |
| 3108 | steamwebhelper | \Windows\System32\en-US\MMDevAPI.dll.mui | 0x5f0000 | False | False | False | |||
| 3108 | steamwebhelper | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 3108 | steamwebhelper | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 3108 | steamwebhelper | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 3108 | steamwebhelper | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 3108 | steamwebhelper | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 3108 | steamwebhelper | \Windows\System32\dnsapi.dll | 0x74c40000 | True | True | True | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll | C:\Windows\system32\DNSAPI.dll |
| 3108 | steamwebhelper | \Windows\System32\FWPUCLNT.DLL | 0x73650000 | True | True | True | C:\Windows\System32\fwpuclnt.dll | C:\Windows\System32\fwpuclnt.dll | C:\Windows\System32\fwpuclnt.dll |
| 3108 | steamwebhelper | \Windows\System32\dhcpcsvc6.dll | 0x71e70000 | True | True | True | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL | C:\Windows\system32\dhcpcsvc6.DLL |
| 3108 | steamwebhelper | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 3108 | steamwebhelper | \Windows\System32\webio.dll | 0x71e90000 | True | True | True | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll | C:\Windows\system32\webio.dll |
| 3108 | steamwebhelper | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 3108 | steamwebhelper | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 3108 | steamwebhelper | \Windows\System32\dwmapi.dll | 0x73cc0000 | True | True | True | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll | C:\Windows\system32\dwmapi.dll |
| 3108 | steamwebhelper | \Windows\System32\nlaapi.dll | 0x742d0000 | True | True | True | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll | C:\Windows\system32\NLAapi.dll |
| 3108 | steamwebhelper | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| 3108 | steamwebhelper | \Windows\System32\normaliz.dll | 0x76bd0000 | True | True | True | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll |
| 3108 | steamwebhelper | \Windows\System32\oleacc.dll | 0x6fa50000 | True | True | True | C:\Windows\system32\OLEACC.dll | C:\Windows\system32\OLEACC.dll | C:\Windows\system32\OLEACC.dll |
| 3108 | steamwebhelper | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 3108 | steamwebhelper | \Windows\System32\winnsi.dll | 0x74900000 | True | True | True | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL | C:\Windows\system32\WINNSI.DLL |
| 3108 | steamwebhelper | \Windows\System32\wininet.dll | 0x76310000 | True | True | True | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll |
| 3108 | steamwebhelper | \Windows\System32\MMDevAPI.dll | 0x745d0000 | True | True | True | C:\Windows\system32\MMDevAPI.DLL | C:\Windows\system32\MMDevAPI.DLL | C:\Windows\system32\MMDevAPI.DLL |
| 3108 | steamwebhelper | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 3108 | steamwebhelper | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 3108 | steamwebhelper | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 3108 | steamwebhelper | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 3108 | steamwebhelper | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 3108 | steamwebhelper | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 3108 | steamwebhelper | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 3108 | steamwebhelper | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 3108 | steamwebhelper | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 3108 | steamwebhelper | \Windows\System32\en-US\setupapi.dll.mui | 0x5c0000 | False | False | False | |||
| 3108 | steamwebhelper | \Windows\System32\winmm.dll | 0x709c0000 | True | True | True | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll |
| 3108 | steamwebhelper | \Windows\System32\AudioSes.dll | 0x707d0000 | True | True | True | C:\Windows\system32\audioses.dll | C:\Windows\system32\audioses.dll | C:\Windows\system32\audioses.dll |
| 3108 | steamwebhelper | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 3108 | steamwebhelper | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 3108 | steamwebhelper | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll |
| 3108 | steamwebhelper | \Windows\System32\urlmon.dll | 0x76410000 | True | True | True | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll |
| 3108 | steamwebhelper | \Windows\System32\rasadhlp.dll | 0x73b30000 | True | True | True | C:\Windows\system32\rasadhlp.dll | C:\Windows\system32\rasadhlp.dll | C:\Windows\system32\rasadhlp.dll |
| 3108 | steamwebhelper | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 3108 | steamwebhelper | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 3108 | steamwebhelper | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 3108 | steamwebhelper | \Windows\System32\dhcpcsvc.dll | 0x73900000 | True | True | True | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL | C:\Windows\system32\dhcpcsvc.DLL |
| 3108 | steamwebhelper | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 3108 | steamwebhelper | \Program Files\Steam\bin\steamwebhelper.exe | 0x870000 | True | False | True | C:\Program Files\Steam\bin\steamwebhelper.exe | C:\Program Files\Steam\bin\steamwebhelper.exe | |
| 3108 | steamwebhelper | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 3108 | steamwebhelper | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 3108 | steamwebhelper | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 3108 | steamwebhelper | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 3108 | steamwebhelper | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 3108 | steamwebhelper | \Windows\System32\winhttp.dll | 0x71ee0000 | True | True | True | C:\Windows\system32\WINHTTP.dll | C:\Windows\system32\WINHTTP.dll | C:\Windows\system32\WINHTTP.dll |
| 3108 | steamwebhelper | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 3108 | steamwebhelper | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL |
| 3108 | steamwebhelper | \Windows\System32\IPHLPAPI.DLL | 0x74910000 | True | True | True | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL | C:\Windows\system32\IPHLPAPI.DLL |
| 3896 | steamwebhelper | \Program Files\Steam\bin\steamwebhelper.exe | 0x870000 | True | False | True | C:\Program Files\Steam\bin\steamwebhelper.exe | C:\Program Files\Steam\bin\steamwebhelper.exe | |
| 3896 | steamwebhelper | \Windows\System32\oleaccrc.dll | 0x80000 | False | False | False | |||
| 3896 | steamwebhelper | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 3896 | steamwebhelper | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 3896 | steamwebhelper | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll |
| 3896 | steamwebhelper | \Program Files\Steam\crashhandler.dll | 0x71590000 | True | True | True | C:\Program Files\Steam\crashhandler.dll | C:\Program Files\Steam\crashhandler.dll | C:\Program Files\Steam\crashhandler.dll |
| 3896 | steamwebhelper | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 3896 | steamwebhelper | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 3896 | steamwebhelper | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 3896 | steamwebhelper | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 3896 | steamwebhelper | \Windows\System32\iertutil.dll | 0x76be0000 | True | True | True | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll |
| 3896 | steamwebhelper | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 3896 | steamwebhelper | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 3896 | steamwebhelper | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 3896 | steamwebhelper | \Windows\System32\oleacc.dll | 0x6fa50000 | True | True | True | C:\Windows\system32\OLEACC.dll | C:\Windows\system32\OLEACC.dll | C:\Windows\system32\OLEACC.dll |
| 3896 | steamwebhelper | \Windows\System32\DWrite.dll | 0x6c480000 | True | True | True | C:\Windows\system32\dwrite.dll | C:\Windows\system32\dwrite.dll | C:\Windows\system32\dwrite.dll |
| 3896 | steamwebhelper | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\cryptbase.dll | C:\Windows\system32\cryptbase.dll | C:\Windows\system32\cryptbase.dll |
| 3896 | steamwebhelper | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 3896 | steamwebhelper | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 3896 | steamwebhelper | \Windows\System32\wininet.dll | 0x76310000 | True | True | True | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll |
| 3896 | steamwebhelper | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 3896 | steamwebhelper | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 3896 | steamwebhelper | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 3896 | steamwebhelper | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 3896 | steamwebhelper | \Program Files\Steam\bin\ffmpegsumo.dll | 0x66180000 | True | True | True | C:\Program Files\Steam\bin\ffmpegsumo.dll | C:\Program Files\Steam\bin\ffmpegsumo.dll | C:\Program Files\Steam\bin\ffmpegsumo.dll |
| 3896 | steamwebhelper | \Program Files\Steam\bin\libcef.dll | 0x67b90000 | True | True | True | C:\Program Files\Steam\bin\libcef.dll | C:\Program Files\Steam\bin\libcef.dll | C:\Program Files\Steam\bin\libcef.dll |
| 3896 | steamwebhelper | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 3896 | steamwebhelper | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 3896 | steamwebhelper | \Windows\System32\winmm.dll | 0x709c0000 | True | True | True | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll |
| 3896 | steamwebhelper | \Windows\System32\normaliz.dll | 0x76bd0000 | True | True | True | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll |
| 3896 | steamwebhelper | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 3896 | steamwebhelper | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 3896 | steamwebhelper | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll |
| 3896 | steamwebhelper | \Windows\System32\urlmon.dll | 0x76410000 | True | True | True | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll |
| 3896 | steamwebhelper | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 3896 | steamwebhelper | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 3896 | steamwebhelper | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 3896 | steamwebhelper | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 3896 | steamwebhelper | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 3896 | steamwebhelper | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL |
| 3896 | steamwebhelper | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 3896 | steamwebhelper | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 2108 | steamwebhelper | \Program Files\Steam\bin\libcef.dll | 0x67b90000 | True | True | True | C:\Program Files\Steam\bin\libcef.dll | C:\Program Files\Steam\bin\libcef.dll | C:\Program Files\Steam\bin\libcef.dll |
| 2108 | steamwebhelper | \Windows\System32\oleaccrc.dll | 0x2c0000 | False | False | False | |||
| 2108 | steamwebhelper | \Windows\System32\version.dll | 0x74930000 | True | True | True | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll | C:\Windows\system32\VERSION.dll |
| 2108 | steamwebhelper | \Windows\System32\profapi.dll | 0x75340000 | True | True | True | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll | C:\Windows\system32\profapi.dll |
| 2108 | steamwebhelper | \Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll | 0x74030000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll | C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\COMCTL32.dll |
| 2108 | steamwebhelper | \Program Files\Steam\crashhandler.dll | 0x71590000 | True | True | True | C:\Program Files\Steam\crashhandler.dll | C:\Program Files\Steam\crashhandler.dll | C:\Program Files\Steam\crashhandler.dll |
| 2108 | steamwebhelper | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 2108 | steamwebhelper | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 2108 | steamwebhelper | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 2108 | steamwebhelper | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 2108 | steamwebhelper | \Windows\System32\iertutil.dll | 0x76be0000 | True | True | True | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll | C:\Windows\system32\iertutil.dll |
| 2108 | steamwebhelper | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 2108 | steamwebhelper | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 2108 | steamwebhelper | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 2108 | steamwebhelper | \Windows\System32\oleacc.dll | 0x6fa50000 | True | True | True | C:\Windows\system32\OLEACC.dll | C:\Windows\system32\OLEACC.dll | C:\Windows\system32\OLEACC.dll |
| 2108 | steamwebhelper | \Windows\System32\DWrite.dll | 0x6c480000 | True | True | True | C:\Windows\system32\dwrite.dll | C:\Windows\system32\dwrite.dll | C:\Windows\system32\dwrite.dll |
| 2108 | steamwebhelper | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\cryptbase.dll | C:\Windows\system32\cryptbase.dll | C:\Windows\system32\cryptbase.dll |
| 2108 | steamwebhelper | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 2108 | steamwebhelper | \Windows\System32\wininet.dll | 0x76310000 | True | True | True | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll | C:\Windows\system32\WININET.dll |
| 2108 | steamwebhelper | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 2108 | steamwebhelper | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 2108 | steamwebhelper | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 2108 | steamwebhelper | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 2108 | steamwebhelper | \Program Files\Steam\bin\ffmpegsumo.dll | 0x66180000 | True | True | True | C:\Program Files\Steam\bin\ffmpegsumo.dll | C:\Program Files\Steam\bin\ffmpegsumo.dll | C:\Program Files\Steam\bin\ffmpegsumo.dll |
| 2108 | steamwebhelper | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 2108 | steamwebhelper | \Windows\System32\userenv.dll | 0x749a0000 | True | True | True | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll | C:\Windows\system32\USERENV.dll |
| 2108 | steamwebhelper | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 2108 | steamwebhelper | \Windows\System32\winmm.dll | 0x709c0000 | True | True | True | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll | C:\Windows\system32\WINMM.dll |
| 2108 | steamwebhelper | \Windows\System32\normaliz.dll | 0x76bd0000 | True | True | True | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll | C:\Windows\system32\Normaliz.dll |
| 2108 | steamwebhelper | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 2108 | steamwebhelper | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 2108 | steamwebhelper | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll | C:\Windows\system32\Secur32.dll |
| 2108 | steamwebhelper | \Windows\System32\urlmon.dll | 0x76410000 | True | True | True | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll | C:\Windows\system32\urlmon.dll |
| 2108 | steamwebhelper | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 2108 | steamwebhelper | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL | C:\Windows\system32\SSPICLI.DLL |
| 2108 | steamwebhelper | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 2108 | steamwebhelper | \Program Files\Steam\bin\steamwebhelper.exe | 0x870000 | True | False | True | C:\Program Files\Steam\bin\steamwebhelper.exe | C:\Program Files\Steam\bin\steamwebhelper.exe | |
| 2108 | steamwebhelper | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 2108 | steamwebhelper | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 2108 | steamwebhelper | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 2108 | steamwebhelper | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 2108 | steamwebhelper | \Windows\System32\psapi.dll | 0x76870000 | True | True | True | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL | C:\Windows\system32\PSAPI.DLL |
| 2152 | python.exe | \Python27\python.exe | 0x1d000000 | True | False | True | C:\Python27\python.exe | C:\Python27\python.exe | |
| 2152 | python.exe | \Python27\DLLs\_socket.pyd | 0x280000 | True | True | True | C:\Python27\DLLs\_socket.pyd | C:\Python27\DLLs\_socket.pyd | C:\Python27\DLLs\_socket.pyd |
| 2152 | python.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 2152 | python.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 2152 | python.exe | \Windows\winsxs\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\msvcr90.dll | 0x6f940000 | True | True | True | C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll | C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll | C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.6161_none_50934f2ebcb7eb57\MSVCR90.dll |
| 2152 | python.exe | \Windows\System32\en-US\KernelBase.dll.mui | 0x1360000 | False | False | False | |||
| 2152 | python.exe | \Python27\DLLs\_ssl.pyd | 0x10000000 | True | True | True | C:\Python27\DLLs\_ssl.pyd | C:\Python27\DLLs\_ssl.pyd | C:\Python27\DLLs\_ssl.pyd |
| 2152 | python.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 2152 | python.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 2152 | python.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 2152 | python.exe | \Windows\System32\python27.dll | 0x1e000000 | True | True | True | C:\Windows\system32\python27.dll | C:\Windows\system32\python27.dll | C:\Windows\system32\python27.dll |
| 2152 | python.exe | \Windows\System32\shell32.dll | 0x756a0000 | True | True | True | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll | C:\Windows\system32\SHELL32.dll |
| 2152 | python.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 2152 | python.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 2152 | python.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 2152 | python.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 2152 | python.exe | \Python27\DLLs\pyexpat.pyd | 0x4e0000 | True | True | True | C:\Python27\DLLs\pyexpat.pyd | C:\Python27\DLLs\pyexpat.pyd | C:\Python27\DLLs\pyexpat.pyd |
| 2152 | python.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 2152 | python.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 2152 | python.exe | \Python27\DLLs\_hashlib.pyd | 0x1920000 | True | True | True | C:\Python27\DLLs\_hashlib.pyd | C:\Python27\DLLs\_hashlib.pyd | C:\Python27\DLLs\_hashlib.pyd |
| 2152 | python.exe | \Windows\System32\shlwapi.dll | 0x76730000 | True | True | True | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll | C:\Windows\system32\SHLWAPI.dll |
| 2152 | python.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 2152 | python.exe | \Windows\System32\mswsock.dll | 0x74d80000 | True | True | True | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll | C:\Windows\system32\mswsock.dll |
| 2152 | python.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 2152 | python.exe | \Python27\DLLs\_ctypes.pyd | 0x1d1a0000 | True | True | True | C:\Python27\DLLs\_ctypes.pyd | C:\Python27\DLLs\_ctypes.pyd | C:\Python27\DLLs\_ctypes.pyd |
| 2152 | python.exe | \Windows\System32\uxtheme.dll | 0x73fb0000 | True | True | True | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll | C:\Windows\system32\uxtheme.dll |
| 2152 | python.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 2152 | python.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 2152 | python.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 2152 | python.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 2152 | python.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 2152 | python.exe | \Windows\System32\WSHTCPIP.DLL | 0x74850000 | True | True | True | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll | C:\Windows\System32\wshtcpip.dll |
| 2152 | python.exe | \Windows\System32\apphelp.dll | 0x75240000 | True | True | True | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll | C:\Windows\system32\apphelp.dll |
| 2152 | python.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 2152 | python.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 2152 | python.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 2152 | python.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wbemcomn.dll | 0x71ca0000 | True | True | True | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll | C:\Windows\system32\wbemcomn.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wbem\WmiPrvSE.exe | 0x350000 | True | False | True | C:\Windows\system32\wbem\wmiprvse.exe | C:\Windows\system32\wbem\wmiprvse.exe | |
| 1948 | WmiPrvSE.exe | \Windows\System32\security.dll | 0x6b930000 | True | True | True | C:\Windows\system32\SECURITY.DLL | C:\Windows\system32\SECURITY.DLL | C:\Windows\system32\SECURITY.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\credssp.dll | 0x74b40000 | True | True | True | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll | C:\Windows\system32\credssp.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wbem\cimwin32.dll | 0x66030000 | True | True | True | C:\Windows\system32\wbem\cimwin32.dll | C:\Windows\system32\wbem\cimwin32.dll | C:\Windows\system32\wbem\cimwin32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\rsaenh.dll | 0x74b60000 | True | True | True | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll | C:\Windows\system32\rsaenh.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\clbcatq.dll | 0x77340000 | True | True | True | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL | C:\Windows\system32\CLBCatQ.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\srvcli.dll | 0x75190000 | True | True | True | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll | C:\Windows\system32\srvcli.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wbem\wbemprox.dll | 0x71ba0000 | True | True | True | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll | C:\Windows\system32\wbem\wbemprox.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wbem\en-US\cimwin32.dll.mui | 0x1b0000 | False | False | False | |||
| 1948 | WmiPrvSE.exe | \Windows\System32\cscapi.dll | 0x717c0000 | True | True | True | C:\Windows\system32\cscapi.dll | C:\Windows\system32\cscapi.dll | C:\Windows\system32\cscapi.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\sechost.dll | 0x771d0000 | True | True | True | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll | C:\Windows\SYSTEM32\sechost.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\ntdll.dll | 0x771f0000 | True | True | True | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll | C:\Windows\SYSTEM32\ntdll.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\cfgmgr32.dll | 0x75530000 | True | True | True | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll | C:\Windows\system32\CFGMGR32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\schedcli.dll | 0x67610000 | True | True | True | C:\Windows\system32\SCHEDCLI.DLL | C:\Windows\system32\SCHEDCLI.DLL | C:\Windows\system32\SCHEDCLI.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\winbrand.dll | 0x6b940000 | True | True | True | C:\Windows\system32\WINBRAND.dll | C:\Windows\system32\WINBRAND.dll | C:\Windows\system32\WINBRAND.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\framedynos.dll | 0x67420000 | True | True | True | C:\Windows\system32\framedynos.dll | C:\Windows\system32\framedynos.dll | C:\Windows\system32\framedynos.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\gdi32.dll | 0x773d0000 | True | True | True | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll | C:\Windows\system32\GDI32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wbem\wbemsvc.dll | 0x71a50000 | True | True | True | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll | C:\Windows\system32\wbem\wbemsvc.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\netapi32.dll | 0x73a70000 | True | True | True | C:\Windows\system32\NETAPI32.DLL | C:\Windows\system32\NETAPI32.DLL | C:\Windows\system32\NETAPI32.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\user32.dll | 0x76880000 | True | True | True | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll | C:\Windows\system32\USER32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\cryptbase.dll | 0x75290000 | True | True | True | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll | C:\Windows\system32\CRYPTBASE.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\rpcrt4.dll | 0x765f0000 | True | True | True | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll | C:\Windows\system32\RPCRT4.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\ncobjapi.dll | 0x718a0000 | True | True | True | C:\Windows\system32\NCObjAPI.DLL | C:\Windows\system32\NCObjAPI.DLL | C:\Windows\system32\NCObjAPI.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\msvcrt.dll | 0x77120000 | True | True | True | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll | C:\Windows\system32\msvcrt.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\usp10.dll | 0x76b30000 | True | True | True | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll | C:\Windows\system32\USP10.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wintrust.dll | 0x753c0000 | True | True | True | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll | C:\Windows\system32\WINTRUST.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\oleaut32.dll | 0x76f30000 | True | True | True | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll | C:\Windows\system32\OLEAUT32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\imm32.dll | 0x762f0000 | True | True | True | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL | C:\Windows\system32\IMM32.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\nsi.dll | 0x77330000 | True | True | True | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll | C:\Windows\system32\NSI.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\browcli.dll | 0x6b920000 | True | True | True | C:\Windows\system32\BROWCLI.DLL | C:\Windows\system32\BROWCLI.DLL | C:\Windows\system32\BROWCLI.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\RpcRtRemote.dll | 0x75330000 | True | True | True | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll | C:\Windows\system32\RpcRtRemote.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wtsapi32.dll | 0x74940000 | True | True | True | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll | C:\Windows\system32\WTSAPI32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\KernelBase.dll | 0x75560000 | True | True | True | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll | C:\Windows\system32\KERNELBASE.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\kernel32.dll | 0x76790000 | True | True | True | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll | C:\Windows\system32\kernel32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\ws2_32.dll | 0x76950000 | True | True | True | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll | C:\Windows\system32\WS2_32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wbem\wmiutils.dll | 0x719a0000 | True | True | True | C:\Windows\system32\wbem\wmiutils.dll | C:\Windows\system32\wbem\wmiutils.dll | C:\Windows\system32\wbem\wmiutils.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\ntdsapi.dll | 0x71bb0000 | True | True | True | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll | C:\Windows\system32\NTDSAPI.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\cryptsp.dll | 0x74dc0000 | True | True | True | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll | C:\Windows\system32\CRYPTSP.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wbem\fastprox.dll | 0x71bd0000 | True | True | True | C:\Windows\system32\wbem\FastProx.dll | C:\Windows\system32\wbem\FastProx.dll | C:\Windows\system32\wbem\FastProx.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\setupapi.dll | 0x76990000 | True | True | True | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll | C:\Windows\system32\SETUPAPI.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wmi.dll | 0x6b950000 | True | True | True | C:\Windows\system32\WMI.DLL | C:\Windows\system32\WMI.DLL | C:\Windows\system32\WMI.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\crypt32.dll | 0x753f0000 | True | True | True | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll | C:\Windows\system32\CRYPT32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\advapi32.dll | 0x76550000 | True | True | True | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll | C:\Windows\system32\ADVAPI32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\secur32.dll | 0x75200000 | True | True | True | C:\Windows\system32\SECUR32.DLL | C:\Windows\system32\SECUR32.DLL | C:\Windows\system32\SECUR32.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\logoncli.dll | 0x74c10000 | True | True | True | C:\Windows\system32\LOGONCLI.DLL | C:\Windows\system32\LOGONCLI.DLL | C:\Windows\system32\LOGONCLI.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\en-US\setupapi.dll.mui | 0x530000 | False | False | False | |||
| 1948 | WmiPrvSE.exe | \Windows\System32\sspicli.dll | 0x75220000 | True | True | True | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll | C:\Windows\system32\SspiCli.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\ole32.dll | 0x76fc0000 | True | True | True | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll | C:\Windows\system32\ole32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\samcli.dll | 0x73a40000 | True | True | True | C:\Windows\system32\SAMCLI.DLL | C:\Windows\system32\SAMCLI.DLL | C:\Windows\system32\SAMCLI.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\dsrole.dll | 0x73850000 | True | True | True | C:\Windows\system32\DSROLE.DLL | C:\Windows\system32\DSROLE.DLL | C:\Windows\system32\DSROLE.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\netutils.dll | 0x73a60000 | True | True | True | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll | C:\Windows\system32\netutils.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\en-US\user32.dll.mui | 0x70000 | False | False | False | |||
| 1948 | WmiPrvSE.exe | \Windows\System32\msasn1.dll | 0x753b0000 | True | True | True | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll | C:\Windows\system32\MSASN1.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\lpk.dll | 0x766a0000 | True | True | True | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll | C:\Windows\system32\LPK.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\msctf.dll | 0x76de0000 | True | True | True | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll | C:\Windows\system32\MSCTF.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\ntmarta.dll | 0x748d0000 | True | True | True | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll | C:\Windows\system32\ntmarta.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\Wldap32.dll | 0x766e0000 | True | True | True | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll | C:\Windows\system32\WLDAP32.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\wkscli.dll | 0x73a50000 | True | True | True | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll | C:\Windows\system32\wkscli.dll |
| 1948 | WmiPrvSE.exe | \Windows\System32\schannel.dll | 0x74bd0000 | True | True | True | C:\Windows\system32\schannel.DLL | C:\Windows\system32\schannel.DLL | C:\Windows\system32\schannel.DLL |
| 1948 | WmiPrvSE.exe | \Windows\System32\devobj.dll | 0x75510000 | True | True | True | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll | C:\Windows\system32\DEVOBJ.dll |
| Driver offset | Driver name | Device offset | Device name | Device type | Attached Device offset | Attached Device name | Attached device type | Attached device level |
|---|---|---|---|---|---|---|---|---|
| 0x7e819740 | \Driver\tcpipreg | |||||||
| 0x7e82fc40 | \Driver\Parvdm | |||||||
| 0x85c2fad8 | ParallelVdm0 | FILE_DEVICE_PARALLEL_PORT | ||||||
| 0x7e84ba30 | \Driver\PEAUTH | |||||||
| 0x85c4b2f8 | PEAuth | FILE_DEVICE_UNKNOWN | ||||||
| 0x7e850318 | \Driver\secdrv | |||||||
| 0x85c4b718 | Secdrv | UNKNOWN | ||||||
| 0x85c50538 | AscKmd | UNKNOWN | ||||||
| 0x7e8ca0c8 | \Driver\HTTP | |||||||
| 0x85cc3d68 | ReqQueue | FILE_DEVICE_NETWORK | ||||||
| 0x85cc3e90 | Communication | FILE_DEVICE_NETWORK | ||||||
| 0x7ed274c8 | \Driver\Win32k | |||||||
| 0x7eef53b0 | \FileSystem\luafv | |||||||
| 0x7ef0b878 | \Driver\NPF | |||||||
| 0x85c4d318 | NPF_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4d4c8 | NPF_{E2F8A220-AF88-446C-9A55-453E58DD3A33} | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4d678 | NPF_NdisWanIp | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4d7f0 | NPF_{922E8397-11C4-4A6B-843E-B1C73621D2C9} | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4d9a0 | NPF_NdisWanBh | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4dad8 | NPF_NdisWanIpv6 | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4dc10 | NPF_{DB2B4279-B5CF-4626-9DBA-32D0ECE44C87} | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4ddc0 | NPF_{C0DE3E38-8BA7-479F-8B75-833F294C5AA8} | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4def8 | NPF_{483C9FF8-503D-414B-B402-E4C1F1F568CB} | FILE_DEVICE_TRANSPORT | ||||||
| 0x85c4d030 | NPF_{636FF46E-80FE-4314-BC84-DC7749EDE5B4} | FILE_DEVICE_TRANSPORT | ||||||
| 0x85b0b590 | NPF_{E28D896F-9EA8-433A-9C10-66C97C19A921} | FILE_DEVICE_TRANSPORT | ||||||
| 0x7efb4888 | \Driver\rspndr | |||||||
| 0x85bb44a8 | rspndr | FILE_DEVICE_NETWORK | ||||||
| 0x7efbabf8 | \Driver\lltdio | |||||||
| 0x85bb4030 | lltdio | FILE_DEVICE_NETWORK | ||||||
| 0x7f01b970 | \Driver\NDProxy | |||||||
| 0x8541cec8 | NDProxy | FILE_DEVICE_NETWORK | ||||||
| 0x7f52d868 | \FileSystem\FltMgr | |||||||
| 0x85d65ed8 | FILE_DEVICE_NETWORK_FILE_SYSTEM | |||||||
| 0x85380948 | FILE_DEVICE_DISK_FILE_SYSTEM | |||||||
| 0x85274998 | FILE_DEVICE_DISK_FILE_SYSTEM | |||||||
| 0x8522b8d8 | FILE_DEVICE_NETWORK_FILE_SYSTEM | |||||||
| 0x8512ec20 | FILE_DEVICE_DISK_FILE_SYSTEM | |||||||
| 0x8512f498 | FILE_DEVICE_CD_ROM_FILE_SYSTEM | |||||||
| 0x85159498 | FILE_DEVICE_DISK_FILE_SYSTEM | |||||||
| 0x85155918 | FltMgrMsg | UNKNOWN | ||||||
| 0x85157a80 | FltMgr | FILE_DEVICE_DISK_FILE_SYSTEM | ||||||
| 0x7f52e030 | \FileSystem\Ntfs | |||||||
| 0x85384020 | FILE_DEVICE_DISK_FILE_SYSTEM | |||||||
| 0x85380948 | - \FileSystem\FltMgr | FILE_DEVICE_DISK_FILE_SYSTEM | 0 | |||||
| 0x852a3020 | FILE_DEVICE_DISK_FILE_SYSTEM | |||||||
| 0x85274998 | - \FileSystem\FltMgr | FILE_DEVICE_DISK_FILE_SYSTEM | 0 | |||||
| 0x8512ef08 | Ntfs | FILE_DEVICE_DISK_FILE_SYSTEM | ||||||
| 0x8512ec20 | - \FileSystem\FltMgr | FILE_DEVICE_DISK_FILE_SYSTEM | 0 | |||||
| 0x7f52e9e0 | \Driver\KSecDD | |||||||
| 0x8512e890 | KsecDD | FILE_DEVICE_KSEC | ||||||
| 0x7f52eb38 | \Driver\CNG | |||||||
| 0x8512e690 | CNG | UNKNOWN | ||||||
| 0x7f533348 | \Driver\NDIS | |||||||
| 0x851330a0 | Ndis | FILE_DEVICE_NETWORK | ||||||
| 0x7f533c68 | \FileSystem\Fs_Rec | |||||||
| 0x85133440 | ExFatRecognizer | FILE_DEVICE_DISK_FILE_SYSTEM | ||||||
| 0x85133620 | FatCdRomRecognizer | FILE_DEVICE_CD_ROM_FILE_SYSTEM | ||||||
| 0x85133758 | FatDiskRecognizer | FILE_DEVICE_DISK_FILE_SYSTEM | ||||||
| 0x85133890 | UdfsDiskRecognizer | FILE_DEVICE_DISK_FILE_SYSTEM | ||||||
| 0x851339c8 | UdfsCdRomRecognizer | FILE_DEVICE_CD_ROM_FILE_SYSTEM | ||||||
| 0x85133b00 | CdfsRecognizer | FILE_DEVICE_CD_ROM_FILE_SYSTEM | ||||||
| 0x7f5554d8 | \Driver\CLFS | |||||||
| 0x85158470 | clfs | FILE_DEVICE_DISK_FILE_SYSTEM | ||||||
| 0x7f558b18 | \FileSystem\FileInfo | |||||||
| 0x851589f0 | FileInfo | FILE_DEVICE_UNKNOWN | ||||||
| 0x7f5ad298 | \Driver\pcw | |||||||
| 0x851aed20 | PcwDrv | FILE_DEVICE_UNKNOWN | ||||||
| 0x7f5ad478 | \Driver\VBoxGuest | |||||||
| 0x851ae030 | VBoxGuest | FILE_DEVICE_UNKNOWN | ||||||
| 0x7f5c0348 | \Driver\Tcpip | |||||||
| 0x848a8f08 | eQoS | FILE_DEVICE_NETWORK | ||||||
| 0x851d6830 | IPSECDOSP | FILE_DEVICE_NETWORK | ||||||
| 0x851db468 | WfpAle | FILE_DEVICE_NETWORK | ||||||
| 0x851db6e8 | WFP | FILE_DEVICE_NETWORK | ||||||
| 0x851d95f8 | NXTIPSEC | FILE_DEVICE_NETWORK | ||||||
| 0x851c3d88 | FILE_DEVICE_NETWORK | |||||||
| 0x7f5c0918 | \Driver\KSecPkg | |||||||
| 0x7f5f5030 | \Driver\volsnap | |||||||
| 0x85230020 | FILE_DEVICE_DISK | |||||||
| 0x85233660 | FILE_DEVICE_DISK | |||||||
| 0x7f5fb438 | \Driver\storflt | |||||||
| 0x7f5fb540 | \FileSystem\Mup | |||||||
| 0x851f46d8 | Mup | FILE_DEVICE_NETWORK_FILE_SYSTEM | ||||||
| 0x8522b8d8 | - \FileSystem\FltMgr | FILE_DEVICE_NETWORK_FILE_SYSTEM | 0 | |||||
| 0x7f5fb928 | \Driver\rdyboost | |||||||
| 0x85230cb8 | FILE_DEVICE_DISK | |||||||
| 0x85230020 | - \Driver\volsnap | FILE_DEVICE_DISK | 0 | |||||
| 0x851fbc30 | RdyBoost | FILE_DEVICE_UNKNOWN | ||||||
| 0x7f62be58 | \Driver\spldr | |||||||
| 0x8522bd08 | SPDevice | FILE_DEVICE_UNKNOWN | ||||||
| 0x7f62ccf8 | \Driver\Disk | |||||||
| 0x8522d568 | DR0 | FILE_DEVICE_DISK | ||||||
| 0x8522d1a8 | - \Driver\partmgr | FILE_DEVICE_DISK | 0 | |||||
| 0x7f62cf38 | \Driver\hwpolicy | |||||||
| 0x7f63de40 | \Driver\kbdclass | |||||||
| 0x853bcc20 | KeyboardClass1 | FILE_DEVICE_KEYBOARD | ||||||
| 0x85352678 | KeyboardClass0 | FILE_DEVICE_KEYBOARD | ||||||
| 0x7f63df38 | \Driver\VgaSave | |||||||
| 0x858ba528 | Video1 | FILE_DEVICE_VIDEO | ||||||
| 0x7f69d4c0 | \Driver\Null | |||||||
| 0x852c7be0 | Null | FILE_DEVICE_NULL | ||||||
| 0x7f6a0ab0 | \Driver\CmBatt | |||||||
| 0x8539d020 | FILE_DEVICE_BATTERY | |||||||
| 0x852a0428 | FILE_DEVICE_BATTERY | |||||||
| 0x7f6c8f38 | \Driver\cdrom | |||||||
| 0x8535be10 | CdRom0 | FILE_DEVICE_CD_ROM | ||||||
| 0x7f6c9d18 | \Driver\Beep | |||||||
| 0x8531fbf0 | Beep | FILE_DEVICE_BEEP | ||||||
| 0x7f6d3530 | \Driver\WfpLwf | |||||||
| 0x7f6d38c0 | \FileSystem\NetBIOS | |||||||
| 0x852eebb0 | Netbios | FILE_DEVICE_TRANSPORT | ||||||
| 0x7f6d3d40 | \Driver\Psched | |||||||
| 0x85309da8 | Psched | FILE_DEVICE_NETWORK | ||||||
| 0x7f6e9630 | \Driver\NetBT | |||||||
| 0x858c4ca0 | NetBT_Tcpip_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} | FILE_DEVICE_NETWORK | ||||||
| 0x8532eca0 | NetBt_Wins_Export | FILE_DEVICE_NETWORK | ||||||
| 0x7f709420 | \Driver\VBoxMouse | |||||||
| 0x853543c8 | FILE_DEVICE_MOUSE | |||||||
| 0x85358030 | PointerClass0 - \Driver\mouclass | FILE_DEVICE_MOUSE | 0 | |||||
| 0x7f722a00 | \Driver\tdx | |||||||
| 0x85324e58 | RawIp6 | FILE_DEVICE_NETWORK | ||||||
| 0x85335550 | RawIp | FILE_DEVICE_NETWORK | ||||||
| 0x85335680 | Udp6 | FILE_DEVICE_NETWORK | ||||||
| 0x853357b0 | Udp | FILE_DEVICE_NETWORK | ||||||
| 0x85335b58 | Tcp6 | FILE_DEVICE_NETWORK | ||||||
| 0x85335c88 | Tcp | FILE_DEVICE_NETWORK | ||||||
| 0x85322880 | Tdx | FILE_DEVICE_TRANSPORT | ||||||
| 0x7f724310 | \Driver\AFD | |||||||
| 0x85324620 | Afd | FILE_DEVICE_NAMED_PIPE | ||||||
| 0x7f72f268 | \Driver\discache | |||||||
| 0x7f72f3f0 | \FileSystem\DfsC | |||||||
| 0x85365ba0 | DfsClient | FILE_DEVICE_DISK_FILE_SYSTEM | ||||||
| 0x7f7303b8 | \FileSystem\VBoxSF | |||||||
| 0x85332b38 | VBoxMiniRdr | FILE_DEVICE_NETWORK_FILE_SYSTEM | ||||||
| 0x85d65ed8 | - \FileSystem\FltMgr | FILE_DEVICE_NETWORK_FILE_SYSTEM | 0 | |||||
| 0x7f730540 | \Driver\Wanarpv6 | |||||||
| 0x853327a0 | WANARPV6 | FILE_DEVICE_NETWORK | ||||||
| 0x85330910 | WANARP | FILE_DEVICE_NETWORK | ||||||
| 0x7f731198 | \Driver\i8042prt | |||||||
| 0x85354520 | FILE_DEVICE_8042_PORT | |||||||
| 0x853543c8 | - \Driver\VBoxMouse | FILE_DEVICE_MOUSE | 0 | |||||
| 0x85358030 | PointerClass0 - \Driver\mouclass | FILE_DEVICE_MOUSE | 1 | |||||
| 0x85352870 | FILE_DEVICE_8042_PORT | |||||||
| 0x85352678 | KeyboardClass0 - \Driver\kbdclass | FILE_DEVICE_KEYBOARD | 0 | |||||
| 0x7f733868 | \Driver\TermDD | |||||||
| 0x853bd240 | FILE_DEVICE_8042_PORT | |||||||
| 0x853bc378 | PointerClass1 - \Driver\mouclass | FILE_DEVICE_MOUSE | 0 | |||||
| 0x853bd3b0 | FILE_DEVICE_8042_PORT | |||||||
| 0x853bcc20 | KeyboardClass1 - \Driver\kbdclass | FILE_DEVICE_KEYBOARD | 0 | |||||
| 0x8534f320 | RemoteVideo15 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534f450 | RemoteVideo14 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534f580 | RemoteVideo13 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534f6b0 | RemoteVideo12 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534f7e0 | RemoteVideo11 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534f910 | RemoteVideo10 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534fa40 | RemoteVideo9 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534fb70 | RemoteVideo8 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534fca0 | RemoteVideo7 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534fdd0 | RemoteVideo6 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534ff00 | RemoteVideo5 | FILE_DEVICE_TERMSRV | ||||||
| 0x8534f030 | RemoteVideo4 | FILE_DEVICE_TERMSRV | ||||||
| 0x85333200 | RemoteVideo3 | FILE_DEVICE_TERMSRV | ||||||
| 0x85333330 | RemoteVideo2 | FILE_DEVICE_TERMSRV | ||||||
| 0x85333460 | RemoteVideo1 | FILE_DEVICE_TERMSRV | ||||||
| 0x85333590 | RemoteVideo0 | FILE_DEVICE_TERMSRV | ||||||
| 0x85333738 | Termdd | FILE_DEVICE_TERMSRV | ||||||
| 0x7f735030 | \FileSystem\Msfs | |||||||
| 0x85335248 | Mailslot | FILE_DEVICE_MAILSLOT | ||||||
| 0x7f7363f0 | \FileSystem\Npfs | |||||||
| 0x853361a8 | NamedPipe | FILE_DEVICE_NAMED_PIPE | ||||||
| 0x7f750880 | \FileSystem\rdbss | |||||||
| 0x853502d8 | FsWrap | FILE_DEVICE_NETWORK_FILE_SYSTEM | ||||||
| 0x7f754a58 | \Driver\mouclass | |||||||
| 0x853bc378 | PointerClass1 | FILE_DEVICE_MOUSE | ||||||
| 0x85358030 | PointerClass0 | FILE_DEVICE_MOUSE | ||||||
| 0x7f7583d0 | \Driver\Parport | |||||||
| 0x853cc480 | Parallel0 | FILE_DEVICE_PARALLEL_PORT | ||||||
| 0x8535a030 | ParallelPort0 | FILE_DEVICE_PARALLEL_PORT | ||||||
| 0x7f75cb30 | \Driver\VBoxVideo | |||||||
| 0x8535e030 | Video0 | FILE_DEVICE_VIDEO | ||||||
| 0x7f761c20 | \Driver\HDAudBus | |||||||
| 0x853fa238 | 00000044 | FILE_DEVICE_SOUND | ||||||
| 0x853fcbe8 | 00000045 - \Driver\HdAudAddService | FILE_DEVICE_KS | 0 | |||||
| 0x8539bef0 | FILE_DEVICE_BUS_EXTENDER | |||||||
| 0x7f7634f8 | \Driver\nsiproxy | |||||||
| 0x853646b8 | Nsi | FILE_DEVICE_NETWORK | ||||||
| 0x7f7644f8 | \Driver\mssmbios | |||||||
| 0x853a7570 | FILE_DEVICE_UNKNOWN | |||||||
| 0x7f765ce0 | \Driver\blbdrive | |||||||
| 0x85353e60 | BlbControl | FILE_DEVICE_NETWORK | ||||||
| 0x7f79b150 | \Driver\usbohci | |||||||
| 0x853bf028 | USBPDO-0 | FILE_DEVICE_BUS_EXTENDER | ||||||
| 0x85389028 | 00000043 - \Driver\usbhub | UNKNOWN | 0 | |||||
| 0x852d7028 | USBFDO-0 | FILE_DEVICE_CONTROLLER | ||||||
| 0x7f79dc30 | \Driver\CompositeBus | |||||||
| 0x853a7b88 | FILE_DEVICE_BUS_EXTENDER | |||||||
| 0x7f79edc8 | \Driver\E1G60 | |||||||
| 0x85415030 | INTELPRO_{0AA2F3F6-6018-4DD7-BF2C-BC83D878CD68} | FILE_DEVICE_NETWORK | ||||||
| 0x8529f028 | NDMP1 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x7f7a9560 | \Driver\Rasl2tp | |||||||
| 0x853ad028 | NDMP3 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x7f7abc60 | \Driver\RasAgileVpn | |||||||
| 0x853a8028 | NDMP2 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x853ab618 | AgileVPN | FILE_DEVICE_NETWORK | ||||||
| 0x7f7aca88 | \Driver\swenum | |||||||
| 0x853be020 | FILE_DEVICE_BUS_EXTENDER | |||||||
| 0x7f7ae498 | \Driver\NdisWan | |||||||
| 0x8541bc80 | NdisWan | FILE_DEVICE_NETWORK | ||||||
| 0x853b5028 | NDMP6 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x853b3028 | NDMP5 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x853b0028 | NDMP4 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x7f7aed98 | \Driver\NdisTapi | |||||||
| 0x853aebf8 | NdisTapi | UNKNOWN | ||||||
| 0x7f7b4528 | \Driver\RasPppoe | |||||||
| 0x853b7028 | NDMP7 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x7f7b8b30 | \Driver\PptpMiniport | |||||||
| 0x853b9028 | NDMP8 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x7f7ba758 | \Driver\RasSstp | |||||||
| 0x853bb028 | NDMP9 | FILE_DEVICE_PHYSICAL_NETCARD | ||||||
| 0x853bd030 | SstpDrv | FILE_DEVICE_NETWORK | ||||||
| 0x7f7bea38 | \Driver\umbus | |||||||
| 0x853c9b88 | FILE_DEVICE_BUS_EXTENDER | |||||||
| 0x7f7c0f38 | \Driver\usbhub | |||||||
| 0x85389028 | 00000043 | UNKNOWN | ||||||
| 0x7f7fc030 | \Driver\HdAudAddService | |||||||
| 0x853fcbe8 | 00000045 | FILE_DEVICE_KS | ||||||
| 0x7fe9f1b8 | \FileSystem\RAW | |||||||
| 0x848413e8 | RawTape | FILE_DEVICE_TAPE_FILE_SYSTEM | ||||||
| 0x84841510 | RawCdRom | FILE_DEVICE_CD_ROM_FILE_SYSTEM | ||||||
| 0x8512f498 | - \FileSystem\FltMgr | FILE_DEVICE_CD_ROM_FILE_SYSTEM | 0 | |||||
| 0x84841030 | RawDisk | FILE_DEVICE_DISK_FILE_SYSTEM | ||||||
| 0x85159498 | - \FileSystem\FltMgr | FILE_DEVICE_DISK_FILE_SYSTEM | 0 | |||||
| 0x7ff2c8c0 | \Driver\PnpManager | |||||||
| 0x848cf530 | 00000037 | FILE_DEVICE_CONTROLLER | ||||||
| 0x84877c58 | VolMgrControl - \Driver\volmgr | FILE_DEVICE_NETWORK | 0 | |||||
| 0x848cf7f0 | 00000036 | FILE_DEVICE_CONTROLLER | ||||||
| 0x84876020 | - \Driver\vdrvroot | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x848cfab0 | 00000035 | FILE_DEVICE_CONTROLLER | ||||||
| 0x853c9b88 | - \Driver\umbus | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x848cfd70 | 00000034 | FILE_DEVICE_CONTROLLER | ||||||
| 0x853be020 | - \Driver\swenum | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x848cf030 | 00000033 | FILE_DEVICE_CONTROLLER | ||||||
| 0x853bd240 | - \Driver\TermDD | FILE_DEVICE_8042_PORT | 0 | |||||
| 0x853bc378 | PointerClass1 - \Driver\mouclass | FILE_DEVICE_MOUSE | 1 | |||||
| 0x848ce400 | 00000032 | FILE_DEVICE_CONTROLLER | ||||||
| 0x853bd3b0 | - \Driver\TermDD | FILE_DEVICE_8042_PORT | 0 | |||||
| 0x853bcc20 | KeyboardClass1 - \Driver\kbdclass | FILE_DEVICE_KEYBOARD | 1 | |||||
| 0x848ce6c0 | 00000031 | FILE_DEVICE_CONTROLLER | ||||||
| 0x853bb028 | NDMP9 - \Driver\RasSstp | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x848ce980 | 00000030 | FILE_DEVICE_CONTROLLER | ||||||
| 0x853b9028 | NDMP8 - \Driver\PptpMiniport | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x848cec40 | 0000002f | FILE_DEVICE_CONTROLLER | ||||||
| 0x853b7028 | NDMP7 - \Driver\RasPppoe | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x848cef00 | 0000002e | FILE_DEVICE_CONTROLLER | ||||||
| 0x853b5028 | NDMP6 - \Driver\NdisWan | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x848cd270 | 0000002d | FILE_DEVICE_CONTROLLER | ||||||
| 0x853b3028 | NDMP5 - \Driver\NdisWan | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x848cd530 | 0000002c | FILE_DEVICE_CONTROLLER | ||||||
| 0x853b0028 | NDMP4 - \Driver\NdisWan | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x848cd7f0 | 0000002b | FILE_DEVICE_CONTROLLER | ||||||
| 0x853ad028 | NDMP3 - \Driver\Rasl2tp | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x848cdab0 | 0000002a | FILE_DEVICE_CONTROLLER | ||||||
| 0x853a8028 | NDMP2 - \Driver\RasAgileVpn | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x848cdd70 | 00000029 | FILE_DEVICE_CONTROLLER | ||||||
| 0x853a7570 | - \Driver\mssmbios | FILE_DEVICE_UNKNOWN | 0 | |||||
| 0x848cd030 | 00000028 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cc400 | 00000027 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cc6c0 | 00000026 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cc980 | 00000025 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848ccc40 | 00000024 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848ccf00 | 00000023 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cb270 | 00000022 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cb530 | 00000021 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cb7f0 | 00000020 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cbab0 | 0000001f | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cbd70 | 0000001e | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cb030 | 0000001d | FILE_DEVICE_CONTROLLER | ||||||
| 0x848ca400 | 0000001c | FILE_DEVICE_CONTROLLER | ||||||
| 0x848ca6c0 | 0000001b | FILE_DEVICE_CONTROLLER | ||||||
| 0x848ca980 | 0000001a | FILE_DEVICE_CONTROLLER | ||||||
| 0x848cac40 | 00000019 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848caf00 | 00000018 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c9270 | 00000017 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c9530 | 00000016 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c97f0 | 00000015 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c9ab0 | 00000014 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c9d70 | 00000013 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c9030 | 00000012 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c8400 | 00000011 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c86c0 | 00000010 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c8980 | 0000000f | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c8c40 | 0000000e | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c8f00 | 0000000d | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c7270 | 0000000c | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c7530 | 0000000b | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c77f0 | 0000000a | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c7ab0 | 00000009 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c7d70 | 00000008 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848c7030 | 00000007 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848bd030 | 00000006 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848b1030 | 00000005 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848bdf00 | 00000004 | FILE_DEVICE_CONTROLLER | ||||||
| 0x84877030 | CompositeBattery - \Driver\Compbatt | FILE_DEVICE_BATTERY | 0 | |||||
| 0x848a9e60 | 00000003 | FILE_DEVICE_CONTROLLER | ||||||
| 0x853a7b88 | - \Driver\CompositeBus | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x848a5990 | 00000002 | FILE_DEVICE_CONTROLLER | ||||||
| 0x85353e60 | BlbControl - \Driver\blbdrive | FILE_DEVICE_NETWORK | 0 | |||||
| 0x848c35a0 | 00000001 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848bbc70 | - \Driver\ACPI_HAL | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x848c6590 | FILE_DEVICE_CONTROLLER | |||||||
| 0x7ff2c9c8 | \Driver\ACPI_HAL | |||||||
| 0x848cf258 | 00000038 | FILE_DEVICE_BUS_EXTENDER | ||||||
| 0x8483e1c0 | - \Driver\ACPI | FILE_DEVICE_ACPI | 0 | |||||
| 0x848bbc70 | FILE_DEVICE_BUS_EXTENDER | |||||||
| 0x7ff4c178 | \Driver\WMIxWDM | |||||||
| 0x848c6cf0 | WMIAdminDevice | FILE_DEVICE_UNKNOWN | ||||||
| 0x848c6e18 | WMIDataDevice | FILE_DEVICE_UNKNOWN | ||||||
| 0x7ff5a1b8 | \Driver\msahci | |||||||
| 0x85146030 | PciIde1Channel0 | FILE_DEVICE_CONTROLLER | ||||||
| 0x8516a028 | IdePort2 - \Driver\atapi | FILE_DEVICE_CONTROLLER | 0 | |||||
| 0x848b0608 | PciIde1 | FILE_DEVICE_BUS_EXTENDER | ||||||
| 0x7ff72208 | \Driver\vdrvroot | |||||||
| 0x84876020 | FILE_DEVICE_BUS_EXTENDER | |||||||
| 0x7ff75218 | \Driver\Compbatt | |||||||
| 0x84877030 | CompositeBattery | FILE_DEVICE_BATTERY | ||||||
| 0x7ff75860 | \Driver\partmgr | |||||||
| 0x8522f8a8 | FILE_DEVICE_DISK | |||||||
| 0x8522f020 | FILE_DEVICE_DISK | |||||||
| 0x8522d1a8 | FILE_DEVICE_DISK | |||||||
| 0x84876410 | PartmgrControl | FILE_DEVICE_MASS_STORAGE | ||||||
| 0x7ff75a70 | \Driver\volmgrx | |||||||
| 0x7ff764c8 | \Driver\intelide | |||||||
| 0x84878398 | PciIde0Channel1 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848ae028 | IdePort1 - \Driver\atapi | FILE_DEVICE_CONTROLLER | 0 | |||||
| 0x848775d0 | PciIde0Channel0 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848b2028 | IdePort0 - \Driver\atapi | FILE_DEVICE_CONTROLLER | 0 | |||||
| 0x84878850 | PciIde0 | FILE_DEVICE_BUS_EXTENDER | ||||||
| 0x7ff76e40 | \Driver\volmgr | |||||||
| 0x8522fb00 | HarddiskVolume2 | FILE_DEVICE_DISK | ||||||
| 0x85230cb8 | - \Driver\rdyboost | FILE_DEVICE_DISK | 0 | |||||
| 0x85230020 | - \Driver\volsnap | FILE_DEVICE_DISK | 1 | |||||
| 0x85233120 | HarddiskVolume1 | FILE_DEVICE_DISK | ||||||
| 0x85233660 | - \Driver\volsnap | FILE_DEVICE_DISK | 0 | |||||
| 0x84877c58 | VolMgrControl | FILE_DEVICE_NETWORK | ||||||
| 0x7ff78030 | \Driver\mountmgr | |||||||
| 0x84879e30 | MountPointManager | FILE_DEVICE_NETWORK | ||||||
| 0x7ff789e8 | \Driver\atapi | |||||||
| 0x8513f908 | IdeDeviceP2T0L0-4 | FILE_DEVICE_DISK | ||||||
| 0x8522d568 | DR0 - \Driver\Disk | FILE_DEVICE_DISK | 0 | |||||
| 0x8522d1a8 | - \Driver\partmgr | FILE_DEVICE_DISK | 1 | |||||
| 0x8516a028 | IdePort2 | FILE_DEVICE_CONTROLLER | ||||||
| 0x85146908 | IdeDeviceP1T0L0-2 | FILE_DEVICE_CD_ROM | ||||||
| 0x8535be10 | CdRom0 - \Driver\cdrom | FILE_DEVICE_CD_ROM | 0 | |||||
| 0x848ae028 | IdePort1 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848b2028 | IdePort0 | FILE_DEVICE_CONTROLLER | ||||||
| 0x7ff7ca80 | \Driver\pci | |||||||
| 0x84871030 | NTPNP_PCI0009 | FILE_DEVICE_CONTROLLER | ||||||
| 0x848b0608 | PciIde1 - \Driver\msahci | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x84870690 | NTPNP_PCI0008 | FILE_DEVICE_UNKNOWN | ||||||
| 0x8529f028 | NDMP1 - \Driver\E1G60 | FILE_DEVICE_PHYSICAL_NETCARD | 0 | |||||
| 0x84870030 | NTPNP_PCI0006 | FILE_DEVICE_UNKNOWN | ||||||
| 0x852d7028 | USBFDO-0 - \Driver\usbohci | FILE_DEVICE_CONTROLLER | 0 | |||||
| 0x8486f690 | NTPNP_PCI0005 | FILE_DEVICE_UNKNOWN | ||||||
| 0x8539bef0 | - \Driver\HDAudBus | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x8486fb60 | NTPNP_PCI0004 | FILE_DEVICE_UNKNOWN | ||||||
| 0x851ae030 | VBoxGuest - \Driver\VBoxGuest | FILE_DEVICE_UNKNOWN | 0 | |||||
| 0x8486f030 | NTPNP_PCI0003 | FILE_DEVICE_VIDEO | ||||||
| 0x85135638 | - \Driver\ACPI | FILE_DEVICE_ACPI | 0 | |||||
| 0x8535e030 | Video0 - \Driver\VBoxVideo | FILE_DEVICE_VIDEO | 1 | |||||
| 0x8486e690 | NTPNP_PCI0002 | FILE_DEVICE_CONTROLLER | ||||||
| 0x84878850 | PciIde0 - \Driver\intelide | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x8486eb60 | NTPNP_PCI0001 | FILE_DEVICE_UNKNOWN | ||||||
| 0x84870568 | - \Driver\ACPI | FILE_DEVICE_ACPI | 0 | |||||
| 0x84872cd8 | - \Driver\msisadrv | FILE_DEVICE_UNKNOWN | 1 | |||||
| 0x8486e030 | NTPNP_PCI0000 | FILE_DEVICE_UNKNOWN | ||||||
| 0x8487d628 | FILE_DEVICE_BUS_EXTENDER | |||||||
| 0x7ff7cef8 | \Driver\msisadrv | |||||||
| 0x84872cd8 | FILE_DEVICE_UNKNOWN | |||||||
| 0x7ffbd030 | \Driver\Wdf01000 | |||||||
| 0x8483ee48 | KMDF0 | FILE_DEVICE_UNKNOWN | ||||||
| 0x7ffbd740 | \Driver\ACPI | |||||||
| 0x84873030 | 00000042 | FILE_DEVICE_ACPI | ||||||
| 0x84872428 | 00000041 | FILE_DEVICE_ACPI | ||||||
| 0x84872550 | 00000040 | FILE_DEVICE_ACPI | ||||||
| 0x8535a030 | ParallelPort0 - \Driver\Parport | FILE_DEVICE_PARALLEL_PORT | 0 | |||||
| 0x84872678 | 0000003f | FILE_DEVICE_ACPI | ||||||
| 0x85354520 | - \Driver\i8042prt | FILE_DEVICE_8042_PORT | 0 | |||||
| 0x853543c8 | - \Driver\VBoxMouse | FILE_DEVICE_MOUSE | 1 | |||||
| 0x85358030 | PointerClass0 - \Driver\mouclass | FILE_DEVICE_MOUSE | 2 | |||||
| 0x848727a0 | 0000003e | FILE_DEVICE_ACPI | ||||||
| 0x848728c8 | 0000003d | FILE_DEVICE_ACPI | ||||||
| 0x85352870 | - \Driver\i8042prt | FILE_DEVICE_8042_PORT | 0 | |||||
| 0x85352678 | KeyboardClass0 - \Driver\kbdclass | FILE_DEVICE_KEYBOARD | 1 | |||||
| 0x85135638 | FILE_DEVICE_ACPI | |||||||
| 0x8535e030 | Video0 - \Driver\VBoxVideo | FILE_DEVICE_VIDEO | 0 | |||||
| 0x84870568 | FILE_DEVICE_ACPI | |||||||
| 0x84872cd8 | - \Driver\msisadrv | FILE_DEVICE_UNKNOWN | 0 | |||||
| 0x8486f568 | 0000003c | FILE_DEVICE_ACPI | ||||||
| 0x8539d020 | - \Driver\CmBatt | FILE_DEVICE_BATTERY | 0 | |||||
| 0x8486e568 | 0000003b | FILE_DEVICE_ACPI | ||||||
| 0x852a0428 | - \Driver\CmBatt | FILE_DEVICE_BATTERY | 0 | |||||
| 0x84867300 | 0000003a | FILE_DEVICE_ACPI | ||||||
| 0x84867428 | 00000039 | FILE_DEVICE_ACPI | ||||||
| 0x8487d628 | - \Driver\pci | FILE_DEVICE_BUS_EXTENDER | 0 | |||||
| 0x8483e1c0 | FILE_DEVICE_ACPI | |||||||
| 0x7ffe6758 | \Driver\amdxata |
| PID | Service name | Display name | Binary path | Type | State | Service offset | Service order |
|---|---|---|---|---|---|---|---|
| 704 | Audiosrv | Windows Audio | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75c1e8 | 30 |
| 788 | AudioEndpointBuilder | Windows Audio Endpoint Builder | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75e5c8 | 29 |
| -1 | atapi | IDE Channel | \Driver\atapi | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75e528 | 28 |
| -1 | AsyncMac | RAS Asynchronous Media Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c140 | 27 | |
| -1 | aspnet_state | ASP.NET State Service | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x75c078 | 26 | |
| -1 | arcsas | arcsas | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75bfd0 | 25 | |
| -1 | arc | arc | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75bf30 | 24 | |
| -1 | AppMgmt | Application Management | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x751620 | 23 | |
| -1 | Appinfo | Application Information | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x751578 | 22 | |
| -1 | AppIDSvc | Application Identity | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7514d0 | 21 | |
| -1 | AppID | AppID Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x751430 | 20 | |
| -1 | amdxata | amdxata | \Driver\amdxata | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x751388 | 19 |
| -1 | amdsbs | amdsbs | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7512e0 | 18 | |
| -1 | amdsata | amdsata | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x751238 | 17 | |
| -1 | AmdPPM | AMD Processor Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x751190 | 16 | |
| -1 | AmdK8 | AMD K8 Processor Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7510f0 | 15 | |
| -1 | amdide | amdide | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x751048 | 14 | |
| -1 | amdagp | AMD AGP Bus Filter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x750fa0 | 13 | |
| -1 | aliide | aliide | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x750ef8 | 12 | |
| -1 | ALG | Application Layer Gateway Service | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x750e58 | 11 | |
| -1 | aic78xx | aic78xx | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x750db0 | 10 | |
| -1 | agp440 | Intel AGP Bus Filter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x750d08 | 9 | |
| -1 | AFD | Ancillary Function Driver for Winsock | \Driver\AFD | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x750c68 | 8 |
| 816 | AeLookupSvc | Application Experience | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x750bb8 | 7 |
| -1 | adpu320 | adpu320 | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x750b10 | 6 | |
| -1 | adpahci | adpahci | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x750a68 | 5 | |
| -1 | adp94xx | adp94xx | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7509c0 | 4 | |
| -1 | AcpiPmi | ACPI Power Meter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x750918 | 3 | |
| -1 | ACPI | Microsoft ACPI Driver | \Driver\ACPI | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x750878 | 2 |
| -1 | 1394ohci | 1394 OHCI Compliant Host Controller | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7507d0 | 1 | |
| -1 | RasMan | Remote Access Connection Manager | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x764d60 | 228 | |
| -1 | Rasl2tp | WAN Miniport (L2TP) | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764cb8 | 227 | |
| -1 | RasAuto | Remote Access Auto Connection Manager | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x764c10 | 226 | |
| -1 | RasAgileVpn | WAN Miniport (IKEv2) | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x765d50 | 225 | |
| -1 | RasAcd | Remote Access Auto Connection Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764b68 | 224 | |
| -1 | QWAVEdrv | QWAVE driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764ac0 | 223 | |
| -1 | QWAVE | Quality Windows Audio Video Experience | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7605e0 | 222 | |
| -1 | ql40xx | ql40xx | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764a18 | 221 | |
| -1 | ql2300 | ql2300 | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764970 | 220 | |
| -1 | Psched | QoS Packet Scheduler | \Driver\Psched | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x7648c8 | 219 |
| -1 | ProtectedStorage | Protected Storage | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x765c98 | 218 | |
| 816 | ProfSvc | User Profile Service | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x764820 | 217 |
| -1 | Processor | Processor Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764778 | 216 | |
| -1 | PptpMiniport | WAN Miniport (PPTP) | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x765be8 | 215 | |
| 544 | Power | Power | C:\Windows\system32\svchost.exe -k DcomLaunch | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x760540 | 214 |
| -1 | PolicyAgent | IPsec Policy Agent | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x765b38 | 213 | |
| 544 | PlugPlay | Plug and Play | C:\Windows\system32\svchost.exe -k DcomLaunch | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x7646d0 | 212 |
| -1 | PeerDistSvc | BranchCache | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x765a88 | 211 | |
| -1 | PEAUTH | PEAUTH | \Driver\PEAUTH | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x764628 | 210 |
| -1 | pcw | Performance Counters for Windows Driver | \Driver\pcw | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x7604a0 | 209 |
| -1 | pcmcia | pcmcia | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764580 | 208 | |
| -1 | pciide | pciide | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7644d8 | 207 | |
| -1 | pci | PCI Bus Driver | \Driver\pci | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x760400 | 206 |
| 788 | PcaSvc | Program Compatibility Assistant Service | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x764430 | 205 |
| -1 | Parvdm | Parvdm | \Driver\Parvdm | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x764388 | 204 |
| -1 | partmgr | Partition Manager | \Driver\partmgr | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x7642e0 | 203 |
| -1 | Parport | Parallel port driver | \Driver\Parport | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x764238 | 202 |
| -1 | ohci1394 | 1394 OHCI Compliant Host Controller (Legacy) | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764190 | 201 | |
| -1 | nv_agp | NVIDIA nForce AGP Bus Filter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7640e8 | 200 | |
| -1 | nvstor | nvstor | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764040 | 199 | |
| -1 | nvraid | nvraid | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x763f98 | 198 | |
| -1 | Null | Null | \Driver\Null | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x760360 | 197 |
| -1 | Ntfs | Ntfs | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x7602c0 | 196 | |
| -1 | nsiproxy | NSI proxy service driver. | \Driver\nsiproxy | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x763ef0 | 195 |
| 980 | nsi | Network Store Interface Service | C:\Windows\system32\svchost.exe -k LocalService | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x760220 | 194 |
| -1 | Npfs | Npfs | \FileSystem\Npfs | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x760180 | 193 |
| -1 | NPF | NetGroup Packet Filter Driver | \Driver\NPF | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x7600e0 | 192 |
| 1152 | NlaSvc | Network Location Awareness | C:\Windows\system32\svchost.exe -k NetworkService | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x763e48 | 191 |
| -1 | nfrd960 | nfrd960 | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x763da0 | 190 | |
| -1 | NetTcpPortSharing | Net.Tcp Port Sharing Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7659d0 | 189 | |
| -1 | NetTcpActivator | Net.Tcp Listener Adapter | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x765918 | 188 | |
| 980 | netprofm | Network List Service | C:\Windows\system32\svchost.exe -k LocalService | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x763cf8 | 187 |
| -1 | NetPipeActivator | Net.Pipe Listener Adapter | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x765860 | 186 | |
| -1 | NetMsmqActivator | Net.Msmq Listener Adapter | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7657a8 | 185 | |
| 788 | Netman | Network Connections | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x763c50 | 184 |
| -1 | Netlogon | Netlogon | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x763ba8 | 183 | |
| -1 | NetBT | NetBT | \Driver\NetBT | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x760040 | 182 |
| -1 | NetBIOS | NetBIOS Interface | \FileSystem\NetBIOS | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x763b00 | 181 |
| -1 | NDProxy | NDIS Proxy | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x763a58 | 180 | |
| -1 | NdisWan | Remote Access NDIS WAN Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7639b0 | 179 | |
| -1 | Ndisuio | NDIS Usermode I/O Protocol | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x763908 | 178 | |
| -1 | NdisTapi | Remote Access NDIS TAPI Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x763860 | 177 | |
| -1 | NdisCap | NDIS Capture LightWeight Filter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7637b8 | 176 | |
| -1 | NDIS | NDIS System Driver | \Driver\NDIS | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75ffa0 | 175 |
| -1 | NativeWifiP | NativeWiFi Filter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7656f8 | 174 | |
| -1 | napagent | Network Access Protection Agent | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x763710 | 173 | |
| -1 | Mup | Mup | \FileSystem\Mup | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x75ff00 | 172 |
| -1 | MTConfig | Microsoft Input Configuration Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x763198 | 171 | |
| -1 | MSTEE | Microsoft Streaming Tee/Sink-to-Sink Converter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75fe60 | 170 | |
| -1 | mssmbios | Microsoft System Management BIOS Driver | \Driver\mssmbios | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x7630f0 | 169 |
| -1 | MsRPC | MsRPC | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75fdc0 | 168 | |
| -1 | MSPQM | Microsoft Streaming Quality Manager Proxy | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75fd20 | 167 | |
| -1 | MSPCLOCK | Microsoft Streaming Clock Proxy | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x763048 | 166 | |
| -1 | MSKSSRV | Microsoft Streaming Service Proxy | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762fa0 | 165 | |
| -1 | msiserver | Windows Installer | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x762ef8 | 164 | |
| -1 | MSiSCSI | Microsoft iSCSI Initiator Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x762e50 | 163 | |
| -1 | msisadrv | msisadrv | \Driver\msisadrv | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x762da8 | 162 |
| -1 | mshidkmdf | Pass-through HID to KMDF Filter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762d00 | 161 | |
| -1 | Msfs | Msfs | \FileSystem\Msfs | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x75fc80 | 160 |
| -1 | MSDTC | Distributed Transaction Coordinator | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x75fbe0 | 159 | |
| -1 | msdsm | msdsm | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75fb40 | 158 | |
| -1 | msahci | msahci | \Driver\msahci | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x762c58 | 157 |
| -1 | mrxsmb20 | SMB 2.0 MiniRedirector | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x762bb0 | 156 | |
| -1 | mrxsmb10 | SMB 1.x MiniRedirector | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x762b08 | 155 | |
| -1 | mrxsmb | SMB MiniRedirector Wrapper and Engine | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x762a60 | 154 | |
| -1 | MRxDAV | WebDav Client Redirector Driver | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x7629b8 | 153 | |
| -1 | MpsSvc | Windows Firewall | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x762910 | 152 | |
| -1 | mpsdrv | Windows Firewall Authorization Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762868 | 151 | |
| -1 | mpio | mpio | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75faa0 | 150 | |
| -1 | MozillaMaintenance | Mozilla Maintenance Service | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x763638 | 149 | |
| -1 | mountmgr | Mount Point Manager | \Driver\mountmgr | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x7627c0 | 148 |
| -1 | mouhid | Mouse HID Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762718 | 147 | |
| -1 | mouclass | Mouse Class Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762670 | 146 | |
| -1 | monitor | Microsoft Monitor Class Function Driver Service | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7625c8 | 145 | |
| -1 | Modem | Modem | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75fa00 | 144 | |
| 816 | MMCSS | Multimedia Class Scheduler | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75f960 | 143 |
| -1 | MegaSR | MegaSR | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762520 | 142 | |
| -1 | megasas | megasas | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762478 | 141 | |
| -1 | luafv | UAC File Virtualization | \FileSystem\luafv | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x75f8c0 | 140 |
| -1 | LSI_SCSI | LSI_SCSI | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7623d0 | 139 | |
| -1 | LSI_SAS2 | LSI_SAS2 | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762328 | 138 | |
| -1 | LSI_SAS | LSI_SAS | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x762280 | 137 | |
| -1 | LSI_FC | LSI_FC | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7621d8 | 136 | |
| -1 | lmhosts | TCP/IP NetBIOS Helper | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x762130 | 135 | |
| -1 | lltdsvc | Link-Layer Topology Discovery Mapper | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x762088 | 134 | |
| -1 | lltdio | Link-Layer Topology Discovery Mapper I/O Driver | \Driver\lltdio | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x761fe0 | 133 |
| -1 | LanmanWorkstation | Workstation | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x763580 | 132 | |
| -1 | LanmanServer | Server | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7634d0 | 131 | |
| -1 | KtmRm | KtmRm for Distributed Transaction Coordinator | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75f820 | 130 | |
| -1 | KSecPkg | KSecPkg | \Driver\KSecPkg | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x761f38 | 129 |
| -1 | KSecDD | KSecDD | \Driver\KSecDD | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x761e90 | 128 |
| -1 | KeyIso | CNG Key Isolation | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x761de8 | 127 | |
| -1 | kbdhid | Keyboard HID Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761d40 | 126 | |
| -1 | kbdclass | Keyboard Class Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761c98 | 125 | |
| -1 | iScsiPrt | iScsiPort Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761bf0 | 124 | |
| -1 | isapnp | isapnp | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761b48 | 123 | |
| -1 | IRENUM | IR Bus Enumerator | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761aa0 | 122 | |
| -1 | IPNAT | IP Network Address Translator | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75f780 | 121 | |
| -1 | IPMIDRV | IPMIDRV | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7619f8 | 120 | |
| -1 | iphlpsvc | IP Helper | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x761950 | 119 | |
| -1 | IpFilterDriver | IP Traffic Filter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x763418 | 118 | |
| -1 | IPBusEnum | PnP-X IP Bus Enumerator | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7618a8 | 117 | |
| -1 | intelppm | Intel Processor Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761800 | 116 | |
| -1 | intelide | intelide | \Driver\intelide | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x761758 | 115 |
| -1 | IKEEXT | IKE and AuthIP IPsec Keying Modules | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7616b0 | 114 | |
| -1 | iirsp | iirsp | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75f6e0 | 113 | |
| -1 | idsvc | idsvc | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75f640 | 112 | |
| -1 | iaStorV | iaStorV | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761608 | 111 | |
| -1 | i8042prt | i8042 Keyboard and PS/2 Mouse Port Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761560 | 110 | |
| -1 | hwpolicy | Hardware Policy Driver | \Driver\hwpolicy | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x7614b8 | 109 |
| -1 | HTTP | HTTP | \Driver\HTTP | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75f5a0 | 108 |
| -1 | HpSAMD | HpSAMD | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x761410 | 107 | |
| 704 | HomeGroupProvider | HomeGroup Provider | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x763360 | 106 |
| -1 | HomeGroupListener | HomeGroup Listener | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7632a8 | 105 | |
| -1 | hkmsvc | Health Key and Certificate Management | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x761368 | 104 | |
| -1 | HidUsb | Microsoft HID Class Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7612c0 | 103 | |
| -1 | hidserv | Human Interface Device Access | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75e018 | 102 | |
| -1 | HidIr | Microsoft Infrared HID Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75f500 | 101 | |
| -1 | HidBth | Microsoft Bluetooth HID Miniport | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75df70 | 100 | |
| -1 | HidBatt | HID UPS Battery Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75dec8 | 99 | |
| -1 | HDAudBus | Microsoft UAA Bus Driver for High Definition Audio | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75de20 | 98 | |
| -1 | HdAudAddService | Microsoft 1.1 UAA Function Driver for High Definition Audio Service | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7611f0 | 97 | |
| -1 | hcw85cir | Hauppauge Consumer Infrared Receiver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75dd78 | 96 | |
| 816 | gpsvc | Group Policy Client | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75f460 | 95 |
| -1 | gagp30kx | Microsoft Generic AGPv3.0 Filter for K8 Processor Platforms | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75dcd0 | 94 | |
| -1 | FsDepends | File System Dependency Minifilter | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x75dc28 | 93 | |
| -1 | FontCache3.0.0.0 | Windows Presentation Foundation Font Cache 3.0.0.0 | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x761138 | 92 | |
| 1900 | FontCache | Windows Font Cache Service | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75db80 | 91 |
| -1 | FltMgr | FltMgr | \FileSystem\FltMgr | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x75dad8 | 90 |
| -1 | flpydisk | Floppy Disk Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75da30 | 89 | |
| -1 | Filetrace | Filetrace | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x75d988 | 88 | |
| -1 | FileInfo | File Information FS MiniFilter | \FileSystem\FileInfo | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x75d8e0 | 87 |
| 1900 | FDResPub | Function Discovery Resource Publication | C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75d838 | 86 |
| 980 | fdPHost | Function Discovery Provider Host | C:\Windows\system32\svchost.exe -k LocalService | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75d790 | 85 |
| -1 | fdc | Floppy Disk Controller Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75f3c0 | 84 | |
| -1 | Fax | Fax | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x75f320 | 83 | |
| -1 | fastfat | FAT12/16/32 File System Driver | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x75d6e8 | 82 | |
| -1 | exfat | exFAT File System Driver | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x75f280 | 81 | |
| 980 | EventSystem | COM+ Event System | C:\Windows\system32\svchost.exe -k LocalService | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x761088 | 80 |
| 704 | eventlog | Windows Event Log | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75d640 | 79 |
| -1 | ErrDev | Microsoft Hardware Error Device Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75d598 | 78 | |
| -1 | elxstor | elxstor | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75d4f0 | 77 | |
| -1 | EFS | Encrypting File System (EFS) | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75f1e0 | 76 | |
| -1 | ebdrv | Broadcom NetXtreme II 10 GigE VBD | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75f140 | 75 | |
| -1 | EapHost | Extensible Authentication Protocol | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75d448 | 74 | |
| -1 | E1G60 | Intel(R) PRO/1000 NDIS 6 Adapter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75f0a0 | 73 | |
| -1 | DXGKrnl | LDDM Graphics Subsystem | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75d3a0 | 72 | |
| -1 | drmkaud | Microsoft Trusted Audio Drivers | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75d2f8 | 71 | |
| -1 | dot3svc | Wired AutoConfig | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75d250 | 70 | |
| -1 | Dnscache | DNS Client | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75d1a8 | 69 | |
| -1 | Disk | Disk Driver | \Driver\Disk | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75efe8 | 68 |
| -1 | discache | System Attribute Cache | \Driver\discache | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75d100 | 67 |
| 704 | Dhcp | DHCP Client | C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75ef48 | 66 |
| -1 | DfsC | DFS Namespace Client Driver | \FileSystem\DfsC | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x75eea8 | 65 |
| -1 | defragsvc | Disk Defragmenter | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x75d058 | 64 | |
| 544 | DcomLaunch | DCOM Server Process Launcher | C:\Windows\system32\svchost.exe -k DcomLaunch | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75edf8 | 63 |
| 1152 | CryptSvc | Cryptographic Services | C:\Windows\system32\svchost.exe -k NetworkService | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75cfb0 | 62 |
| -1 | crcdisk | Crcdisk Filter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75cf08 | 61 | |
| -1 | COMSysApp | COM+ System Application | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x75ce60 | 60 | |
| -1 | CompositeBus | Composite Bus Enumerator Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75ed48 | 59 | |
| -1 | Compbatt | Microsoft Composite Battery Driver | \Driver\Compbatt | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75cdb8 | 58 |
| -1 | CNG | CNG | \Driver\CNG | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75eca8 | 57 |
| -1 | cmdide | cmdide | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75cd10 | 56 | |
| -1 | CmBatt | Microsoft ACPI Control Method Battery Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75cc68 | 55 | |
| -1 | clr_optimization_v4.0.30319_32 | Microsoft .NET Framework NGEN v4.0.30319_X86 | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x75ebd0 | 54 | |
| -1 | clr_optimization_v2.0.50727_32 | Microsoft .NET Framework NGEN v2.0.50727_X86 | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x75eaf8 | 53 | |
| -1 | CLFS | Common Log (CLFS) | \Driver\CLFS | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75ea58 | 52 |
| -1 | circlass | Consumer IR Devices | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75cbc0 | 51 | |
| -1 | CertPropSvc | Certificate Propagation | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75e9a8 | 50 | |
| -1 | cdrom | CD-ROM Driver | \Driver\cdrom | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75e908 | 49 |
| -1 | cdfs | CD/DVD File System Reader | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x75e868 | 48 | |
| -1 | bthserv | Bluetooth Support Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75cb18 | 47 | |
| -1 | BTHMODEM | Bluetooth Serial Communications Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75ca70 | 46 | |
| -1 | BrUsbSer | Brother MFC USB Serial WDM Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c9c8 | 45 | |
| -1 | BrUsbMdm | Brother MFC USB Fax Only Modem | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c920 | 44 | |
| -1 | BrSerWdm | Brother WDM Serial driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c878 | 43 | |
| -1 | Brserid | Brother MFC Serial Port Interface Driver (WDM) | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c7d0 | 42 | |
| -1 | Browser | Computer Browser | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75c728 | 41 | |
| -1 | BrFiltUp | Brother USB Mass-Storage Upper Filter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c680 | 40 | |
| -1 | BrFiltLo | Brother USB Mass-Storage Lower Filter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c5d8 | 39 | |
| -1 | bowser | Browser Support Driver | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x75c530 | 38 | |
| -1 | blbdrive | blbdrive | \Driver\blbdrive | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75c488 | 37 |
| -1 | BITS | Background Intelligent Transfer Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75e7c8 | 36 | |
| 1112 | BFE | Base Filtering Engine | C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x75e728 | 35 |
| -1 | Beep | Beep | \Driver\Beep | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x75e688 | 34 |
| -1 | b57nd60x | Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0 | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c3e0 | 33 | |
| -1 | b06bdrv | Broadcom NetXtreme II VBD | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x75c338 | 32 | |
| -1 | AxInstSV | ActiveX Installer (AxInstSV) | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x75c290 | 31 | |
| 788 | UxSms | Desktop Window Manager Session Manager | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x760fe0 | 307 |
| -1 | usbuhci | Microsoft USB Universal Host Controller Miniport Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767b10 | 306 | |
| -1 | USBSTOR | USB Mass Storage Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767a68 | 305 | |
| -1 | usbprint | Microsoft USB PRINTER Class | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7679c0 | 304 | |
| -1 | usbohci | Microsoft USB Open Host Controller Miniport Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767918 | 303 | |
| -1 | usbhub | Microsoft USB Standard Hub Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767870 | 302 | |
| -1 | usbehci | Microsoft USB 2.0 Enhanced Host Controller Miniport Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7677c8 | 301 | |
| -1 | usbccgp | Microsoft USB Generic Parent Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767720 | 300 | |
| -1 | upnphost | UPnP Device Host | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x767678 | 299 | |
| -1 | UmPass | Microsoft UMPass Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7675d0 | 298 | |
| -1 | umbus | UMBus Enumerator Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x760f40 | 297 | |
| -1 | uliagpkx | Uli AGP Bus Filter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767528 | 296 | |
| -1 | UI0Detect | Interactive Services Detection | SERVICE_INTERACTIVE_PROCESS, SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x767480 | 295 | |
| -1 | udfs | udfs | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x760ea0 | 294 | |
| -1 | uagp35 | Microsoft AGPv3.5 Filter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7673d8 | 293 | |
| -1 | tunnel | Microsoft Tunnel Miniport Adapter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767330 | 292 | |
| -1 | TrustedInstaller | Windows Modules Installer | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x76a228 | 291 | |
| 788 | TrkWks | Distributed Link Tracking Client | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x767288 | 290 |
| -1 | THREADORDER | Thread Ordering Server | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x768240 | 289 | |
| 816 | Themes | Themes | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x7671e0 | 288 |
| -1 | TermDD | Terminal Device Driver | \Driver\TermDD | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x767138 | 287 |
| -1 | tdx | NetIO Legacy TDI Support Driver | \Driver\tdx | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x760e00 | 286 |
| -1 | TDTCP | TDTCP | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x760d60 | 285 | |
| -1 | TDPIPE | TDPIPE | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767090 | 284 | |
| -1 | tcpipreg | TCP/IP Registry Compatibility | \Driver\tcpipreg | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x766fe8 | 283 |
| -1 | TCPIP6 | Microsoft IPv6 Protocol Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766f40 | 282 | |
| -1 | Tcpip | TCP/IP Protocol Driver | \Driver\Tcpip | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x760cc0 | 281 |
| -1 | TapiSrv | Telephony | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x766e98 | 280 | |
| 788 | SysMain | Superfetch | C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x766df0 | 279 |
| -1 | swprv | Microsoft Software Shadow Copy Provider | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x760c20 | 278 | |
| -1 | swenum | Software Bus Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766d48 | 277 | |
| -1 | storvsc | storvsc | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766ca0 | 276 | |
| -1 | storflt | Disk Virtual Machine Bus Acceleration Filter Driver | \Driver\storflt | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x766bf8 | 275 |
| -1 | StiSvc | Windows Image Acquisition (WIA) | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x766b50 | 274 | |
| -1 | stexstor | stexstor | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766aa8 | 273 | |
| -1 | SstpSvc | Secure Socket Tunneling Protocol Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x766a00 | 272 | |
| -1 | SSDPSRV | SSDP Discovery | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x766958 | 271 | |
| -1 | srvnet | srvnet | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x7668b0 | 270 | |
| -1 | srv2 | Server SMB 2.xxx Driver | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x760b80 | 269 | |
| -1 | srv | Server SMB 1.xxx Driver | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x760ae0 | 268 | |
| -1 | sppuinotify | SPP Notification Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x768178 | 267 | |
| -1 | sppsvc | Software Protection | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x766808 | 266 | |
| -1 | Spooler | Print Spooler | SERVICE_INTERACTIVE_PROCESS, SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x766760 | 265 | |
| -1 | spldr | Security Processor Loader Driver | \Driver\spldr | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x760a40 | 264 |
| -1 | Smb | Message-oriented TCP/IP and TCP/IPv6 Protocol (SMB session) | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7609a0 | 263 | |
| -1 | SiSRaid4 | SiSRaid4 | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7666b8 | 262 | |
| -1 | SiSRaid2 | SiSRaid2 | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766610 | 261 | |
| -1 | sisagp | SIS AGP Bus Filter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766568 | 260 | |
| 816 | ShellHWDetection | Shell Hardware Detection | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x7680c0 | 259 |
| -1 | SharedAccess | Internet Connection Sharing (ICS) | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x768010 | 258 | |
| -1 | sfloppy | High-Capacity Floppy Disk Drive | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7664c0 | 257 | |
| -1 | sffp_sd | SFF Storage Protocol Driver for SDBus | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766418 | 256 | |
| -1 | sffp_mmc | SFF Storage Protocol Driver for MMC | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766370 | 255 | |
| -1 | sffdisk | SFF Storage Class Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7662c8 | 254 | |
| -1 | sermouse | Serial Mouse Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766220 | 253 | |
| -1 | Serial | Serial Port Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x766178 | 252 | |
| -1 | Serenum | Serenum Filter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7660d0 | 251 | |
| -1 | SensrSvc | Adaptive Brightness | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x766028 | 250 | |
| 816 | SENS | System Event Notification Service | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x760900 | 249 |
| -1 | seclogon | Secondary Logon | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7655e8 | 248 | |
| -1 | secdrv | Security Driver | \Driver\secdrv | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x765540 | 247 |
| -1 | SDRSVC | Windows Backup | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x765498 | 246 | |
| -1 | SCPolicySvc | Smart Card Removal Policy | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x765f60 | 245 | |
| 816 | Schedule | Task Scheduler | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x7653f0 | 244 |
| -1 | scfilter | Smart card PnP Class Filter Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x765348 | 243 | |
| -1 | SCardSvr | Smart Card | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7652a0 | 242 | |
| -1 | sbp2port | sbp2port | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7651f8 | 241 | |
| -1 | SamSs | Security Accounts Manager | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x760860 | 240 | |
| -1 | s3cap | s3cap | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x7607c0 | 239 | |
| -1 | rspndr | Link-Layer Topology Discovery Responder | \Driver\rspndr | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x765150 | 238 |
| 652 | RpcSs | Remote Procedure Call (RPC) | C:\Windows\system32\svchost.exe -k RPCSS | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x760720 | 237 |
| -1 | RpcLocator | Remote Procedure Call (RPC) Locator | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x765eb0 | 236 | |
| 652 | RpcEptMapper | RPC Endpoint Mapper | C:\Windows\system32\svchost.exe -k RPCSS | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x765e00 | 235 |
| -1 | rpcapd | Remote Packet Capture Protocol v.0 (experimental) | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x7650a8 | 234 | |
| -1 | rdyboost | ReadyBoost | \Driver\rdyboost | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x765000 | 233 |
| -1 | rdpbus | Remote Desktop Device Redirector Bus Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764f58 | 232 | |
| -1 | rdbss | Redirected Buffering Sub Sysytem | \FileSystem\rdbss | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x760680 | 231 |
| -1 | RasSstp | WAN Miniport (SSTP) | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764eb0 | 230 | |
| -1 | RasPppoe | Remote Access PPPOE Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x764e08 | 229 | |
| 600 | VBoxService | VirtualBox Guest Additions Service | system32\VBoxService.exe | SERVICE_WIN32_OWN_PROCESS | SERVICE_RUNNING | 0x7682f0 | 311 |
| -1 | VBoxMouse | VirtualBox Guest Mouse Service | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767d08 | 310 | |
| -1 | VBoxGuest | VirtualBox Guest Driver | \Driver\VBoxGuest | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x767c60 | 309 |
| -1 | VaultSvc | Credential Manager | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x767bb8 | 308 | |
| 816 | Winmgmt | Windows Management Instrumentation | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x76d0c0 | 345 |
| -1 | WinHttpAutoProxySvc | WinHTTP Web Proxy Auto-Discovery Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76e398 | 344 | |
| -1 | WIMMount | WIMMount | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_STOPPED | 0x76d018 | 343 | |
| -1 | WfpLwf | WFP Lightweight Filter | \Driver\WfpLwf | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x76cf70 | 342 |
| -1 | Wecsvc | Windows Event Collector | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76cec8 | 341 | |
| -1 | WebClient | WebClient | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76ce20 | 340 | |
| -1 | Wdf01000 | Kernel Mode Driver Frameworks service | \Driver\Wdf01000 | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x76cd78 | 339 |
| -1 | Wd | Wd | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76a6b8 | 338 | |
| -1 | WcsPlugInService | Windows Color System | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76e2e0 | 337 | |
| -1 | wcncsvc | Windows Connect Now - Config Registrar | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76ccd0 | 336 | |
| -1 | WbioSrvc | Windows Biometric Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76cc28 | 335 | |
| -1 | wbengine | Block Level Backup Engine Service | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x76cb80 | 334 | |
| -1 | Wanarpv6 | Remote Access IPv6 ARP Driver | \Driver\Wanarpv6 | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x76cad8 | 333 |
| -1 | WANARP | Remote Access IP ARP Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76ca30 | 332 | |
| -1 | WacomPen | Wacom Serial Pen HID Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76c988 | 331 | |
| -1 | W32Time | Windows Time | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76c8e0 | 330 | |
| -1 | vwifibus | Virtual WiFi Bus Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76c838 | 329 | |
| -1 | VSS | Volume Shadow Copy | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x76a618 | 328 | |
| -1 | vsmraid | vsmraid | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76c790 | 327 | |
| -1 | volsnap | Storage volumes | \Driver\volsnap | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x76c6e8 | 326 |
| -1 | volmgrx | Dynamic Volume Manager | \Driver\volmgrx | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x76c640 | 325 |
| -1 | volmgr | Volume Manager Driver | \Driver\volmgr | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x76c598 | 324 |
| -1 | VMBusHID | VMBusHID | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76c4f0 | 323 | |
| -1 | vmbus | Virtual Machine Bus | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76a578 | 322 | |
| -1 | viaide | viaide | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76c448 | 321 | |
| -1 | ViaC7 | VIA C7 Processor Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76a4d8 | 320 | |
| -1 | viaagp | VIA AGP Bus Filter | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76c3a0 | 319 | |
| -1 | vhdmp | vhdmp | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76a438 | 318 | |
| -1 | VgaSave | VgaSave | \Driver\VgaSave | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x76c2f8 | 317 |
| -1 | vga | vga | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76a398 | 316 | |
| -1 | vds | Virtual Disk | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x76a2f8 | 315 | |
| -1 | vdrvroot | Microsoft Virtual Drive Enumerator Driver | \Driver\vdrvroot | SERVICE_KERNEL_DRIVER | SERVICE_RUNNING | 0x767f00 | 314 |
| -1 | VBoxVideo | VBoxVideo | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x767e58 | 313 | |
| -1 | VBoxSF | VirtualBox Shared Folders | \FileSystem\VBoxSF | SERVICE_FILE_SYSTEM_DRIVER | SERVICE_RUNNING | 0x767db0 | 312 |
| -1 | WwanSvc | WWAN AutoConfig | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76d600 | 355 | |
| -1 | wudfsvc | Windows Driver Foundation - User-mode Driver Framework | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76d558 | 354 | |
| -1 | WudfPf | User Mode Driver Frameworks Platform Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76d4b0 | 353 | |
| 816 | wuauserv | Windows Update | C:\Windows\system32\svchost.exe -k netsvcs | SERVICE_WIN32_SHARE_PROCESS | SERVICE_RUNNING | 0x76d408 | 352 |
| -1 | ws2ifsl | Winsock IFS Driver | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76d360 | 351 | |
| -1 | WPDBusEnum | Portable Device Enumerator Service | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x7683a0 | 350 | |
| -1 | wmiApSrv | WMI Performance Adapter | SERVICE_WIN32_OWN_PROCESS | SERVICE_STOPPED | 0x76d2b8 | 349 | |
| -1 | WmiAcpi | Microsoft Windows Management Interface for ACPI | SERVICE_KERNEL_DRIVER | SERVICE_STOPPED | 0x76d210 | 348 | |
| -1 | Wlansvc | WLAN AutoConfig | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76d168 | 347 | |
| -1 | WinRM | Windows Remote Management (WS-Management) | SERVICE_WIN32_SHARE_PROCESS | SERVICE_STOPPED | 0x76a758 | 346 |
| Module name | Module file name | Module offset | Module base | Module size |
|---|---|---|---|---|
| tcpipreg.sys | \SystemRoot\System32\drivers\tcpipreg.sys | 0x7e817c98 | 0x8ffbc000 | 53248 |
| 0x7e81d7c8 | 0x84d73a18 | 0 | ||
| parvdm.sys | \SystemRoot\system32\DRIVERS\parvdm.sys | 0x7e841b40 | 0x8ff0d000 | 28672 |
| secdrv.SYS | \SystemRoot\System32\Drivers\secdrv.SYS | 0x7e84b250 | 0x8ffb2000 | 40960 |
| peauth.sys | \SystemRoot\system32\drivers\peauth.sys | 0x7e84bb30 | 0x8ff1b000 | 618496 |
| win32k.sys | \SystemRoot\System32\win32k.sys | 0x7ed25538 | 0x91cf0000 | 2400256 |
| dxg.sys | \SystemRoot\System32\drivers\dxg.sys | 0x7ed29578 | 0x91f40000 | 94208 |
| Dxapi.sys | \SystemRoot\System32\drivers\Dxapi.sys | 0x7ed49ac0 | 0x8fec5000 | 40960 |
| VBoxDisp.dll | \SystemRoot\System32\VBoxDisp.dll | 0x7ed882a0 | 0x91fb0000 | 94208 |
| luafv.sys | \SystemRoot\system32\drivers\luafv.sys | 0x7eef3978 | 0x8fecf000 | 110592 |
| npf.sys | \SystemRoot\system32\drivers\npf.sys | 0x7ef8af18 | 0x8ff14000 | 28672 |
| rspndr.sys | \SystemRoot\system32\DRIVERS\rspndr.sys | 0x7efb4bb0 | 0x8fefa000 | 77824 |
| lltdio.sys | \SystemRoot\system32\DRIVERS\lltdio.sys | 0x7efba570 | 0x8feea000 | 65536 |
| NDProxy.SYS | \SystemRoot\System32\Drivers\NDProxy.SYS | 0x7f0152b8 | 0x8fe1c000 | 69632 |
| HdAudio.sys | \SystemRoot\system32\drivers\HdAudio.sys | 0x7f019130 | 0x8fe2d000 | 327680 |
| Msfs.SYS | \SystemRoot\System32\Drivers\Msfs.SYS | 0x7f559600 | 0x89acb000 | 45056 |
| vga.sys | \SystemRoot\System32\drivers\vga.sys | 0x7f691d20 | 0x89a91000 | 49152 |
| Beep.SYS | \SystemRoot\System32\Drivers\Beep.SYS | 0x7f6953d8 | 0x89a8a000 | 28672 |
| VIDEOPRT.SYS | \SystemRoot\System32\drivers\VIDEOPRT.SYS | 0x7f695b50 | 0x89a9d000 | 135168 |
| Null.SYS | \SystemRoot\System32\Drivers\Null.SYS | 0x7f69b880 | 0x89a83000 | 28672 |
| cdrom.sys | \SystemRoot\system32\DRIVERS\cdrom.sys | 0x7f69baf0 | 0x89a64000 | 126976 |
| tdx.sys | \SystemRoot\system32\DRIVERS\tdx.sys | 0x7f69c598 | 0x89ae4000 | 94208 |
| Npfs.SYS | \SystemRoot\System32\Drivers\Npfs.SYS | 0x7f69c640 | 0x89ad6000 | 57344 |
| HTTP.sys | \SystemRoot\system32\drivers\HTTP.sys | 0x7f6ac8a0 | 0xa408b000 | 544768 |
| watchdog.sys | \SystemRoot\System32\drivers\watchdog.sys | 0x7f6c79a8 | 0x89abe000 | 53248 |
| pacer.sys | \SystemRoot\system32\DRIVERS\pacer.sys | 0x7f6d3e10 | 0x89b99000 | 126976 |
| netbios.sys | \SystemRoot\system32\DRIVERS\netbios.sys | 0x7f6d3f88 | 0x89bb8000 | 57344 |
| wfplwf.sys | \SystemRoot\system32\DRIVERS\wfplwf.sys | 0x7f6e91f8 | 0x89b92000 | 28672 |
| netbt.sys | \SystemRoot\System32\DRIVERS\netbt.sys | 0x7f6e9700 | 0x89b60000 | 204800 |
| termdd.sys | \SystemRoot\system32\DRIVERS\termdd.sys | 0x7f6ee1f0 | 0x89bd9000 | 65536 |
| VBoxSF.sys | \SystemRoot\system32\drivers\VBoxSF.sys | 0x7f7094f0 | 0x8972a000 | 270336 |
| TDI.SYS | \SystemRoot\system32\DRIVERS\TDI.SYS | 0x7f722b50 | 0x89afb000 | 45056 |
| afd.sys | \SystemRoot\system32\drivers\afd.sys | 0x7f7248c0 | 0x89b06000 | 368640 |
| VBoxMouse.sys | \SystemRoot\system32\DRIVERS\VBoxMouse.sys | 0x7f72e8e8 | 0x893e1000 | 118784 |
| blbdrive.sys | \SystemRoot\system32\DRIVERS\blbdrive.sys | 0x7f72f198 | 0x8980c000 | 57344 |
| discache.sys | \SystemRoot\System32\drivers\discache.sys | 0x7f72f338 | 0x89800000 | 49152 |
| mssmbios.sys | \SystemRoot\system32\DRIVERS\mssmbios.sys | 0x7f72ff88 | 0x89bf3000 | 40960 |
| i8042prt.sys | \SystemRoot\system32\DRIVERS\i8042prt.sys | 0x7f730658 | 0x897c5000 | 98304 |
| wanarp.sys | \SystemRoot\system32\DRIVERS\wanarp.sys | 0x7f732918 | 0x89bc6000 | 77824 |
| rdbss.sys | \SystemRoot\system32\DRIVERS\rdbss.sys | 0x7f7509b0 | 0x8976c000 | 266240 |
| mouclass.sys | \SystemRoot\system32\DRIVERS\mouclass.sys | 0x7f754b80 | 0x897ea000 | 53248 |
| VBoxVideo.sys | \SystemRoot\system32\DRIVERS\VBoxVideo.sys | 0x7f758250 | 0x8fc32000 | 143360 |
| HDAudBus.sys | \SystemRoot\system32\DRIVERS\HDAudBus.sys | 0x7f761e30 | 0x8fc55000 | 126976 |
| dfsc.sys | \SystemRoot\System32\Drivers\dfsc.sys | 0x7f763430 | 0x897ad000 | 98304 |
| nsiproxy.sys | \SystemRoot\system32\drivers\nsiproxy.sys | 0x7f763650 | 0x89be9000 | 40960 |
| kbdclass.sys | \SystemRoot\system32\DRIVERS\kbdclass.sys | 0x7f765480 | 0x897dd000 | 53248 |
| parport.sys | \SystemRoot\system32\DRIVERS\parport.sys | 0x7f765650 | 0x89000000 | 98304 |
| usbhub.sys | \SystemRoot\system32\DRIVERS\usbhub.sys | 0x7f787480 | 0x8fdd8000 | 278528 |
| USBPORT.SYS | \SystemRoot\system32\DRIVERS\USBPORT.SYS | 0x7f79b5a8 | 0x8fc7e000 | 307200 |
| E1G60I32.sys | \SystemRoot\system32\DRIVERS\E1G60I32.sys | 0x7f79b890 | 0x8fcc9000 | 118784 |
| usbohci.sys | \SystemRoot\system32\DRIVERS\usbohci.sys | 0x7f79ba60 | 0x8fc74000 | 40960 |
| CompositeBus.sys | \SystemRoot\system32\DRIVERS\CompositeBus.sys | 0x7f79deb8 | 0x8fcea000 | 53248 |
| CmBatt.sys | \SystemRoot\system32\DRIVERS\CmBatt.sys | 0x7f79e348 | 0x8fce6000 | 16384 |
| rasl2tp.sys | \SystemRoot\system32\DRIVERS\rasl2tp.sys | 0x7f7a9630 | 0x8fd09000 | 98304 |
| AgileVpn.sys | \SystemRoot\system32\DRIVERS\AgileVpn.sys | 0x7f7abd30 | 0x8fcf7000 | 73728 |
| ndistapi.sys | \SystemRoot\system32\DRIVERS\ndistapi.sys | 0x7f7aee68 | 0x8fd21000 | 45056 |
| ndiswan.sys | \SystemRoot\system32\DRIVERS\ndiswan.sys | 0x7f7af3a0 | 0x8fd2c000 | 139264 |
| raspppoe.sys | \SystemRoot\system32\DRIVERS\raspppoe.sys | 0x7f7b1f88 | 0x8fd4e000 | 98304 |
| raspptp.sys | \SystemRoot\system32\DRIVERS\raspptp.sys | 0x7f7b8c58 | 0x8fd66000 | 94208 |
| rassstp.sys | \SystemRoot\system32\DRIVERS\rassstp.sys | 0x7f7ba828 | 0x8fd7d000 | 94208 |
| ks.sys | \SystemRoot\system32\DRIVERS\ks.sys | 0x7f7bce48 | 0x8fd96000 | 212992 |
| swenum.sys | \SystemRoot\system32\DRIVERS\swenum.sys | 0x7f7bdef8 | 0x8fd94000 | 8192 |
| umbus.sys | \SystemRoot\system32\DRIVERS\umbus.sys | 0x7f7beb68 | 0x8fdca000 | 57344 |
| drmk.sys | \SystemRoot\system32\drivers\drmk.sys | 0x7f7f5bf8 | 0x8feac000 | 102400 |
| portcls.sys | \SystemRoot\system32\drivers\portcls.sys | 0x7f7f8c88 | 0x8fe7d000 | 192512 |
| TSDDD.dll | \SystemRoot\System32\TSDDD.dll | 0x7ff34378 | 0x91f70000 | 36864 |
| ntoskrnl.exe | \SystemRoot\system32\ntoskrnl.exe | 0x7ffa0060 | 0x82812000 | 4194304 |
| pci.sys | \SystemRoot\system32\DRIVERS\pci.sys | 0x7ffb86c0 | 0x8927e000 | 172032 |
| msisadrv.sys | \SystemRoot\system32\DRIVERS\msisadrv.sys | 0x7ffb8738 | 0x89276000 | 32768 |
| WMILIB.SYS | \SystemRoot\system32\DRIVERS\WMILIB.SYS | 0x7ffb87b8 | 0x8926d000 | 36864 |
| ACPI.sys | \SystemRoot\system32\DRIVERS\ACPI.sys | 0x7ffb8838 | 0x89225000 | 294912 |
| WDFLDR.SYS | \SystemRoot\system32\drivers\WDFLDR.SYS | 0x7ffb88b0 | 0x89217000 | 57344 |
| Wdf01000.sys | \SystemRoot\system32\drivers\Wdf01000.sys | 0x7ffb8930 | 0x891a6000 | 462848 |
| CI.dll | \SystemRoot\system32\CI.dll | 0x7ffb89b0 | 0x890fb000 | 700416 |
| CLFS.SYS | \SystemRoot\system32\CLFS.SYS | 0x7ffb8a28 | 0x890b9000 | 270336 |
| BOOTVID.dll | \SystemRoot\system32\BOOTVID.dll | 0x7ffb8aa0 | 0x890b1000 | 32768 |
| PSHED.dll | \SystemRoot\system32\PSHED.dll | 0x7ffb8b20 | 0x890a0000 | 69632 |
| mcupdate.dll | \SystemRoot\system32\mcupdate_GenuineIntel.dll | 0x7ffb8ba0 | 0x89028000 | 491520 |
| kdcom.dll | \SystemRoot\system32\kdcom.dll | 0x7ffb8c20 | 0x80ba9000 | 32768 |
| hal.dll | \SystemRoot\system32\halacpi.dll | 0x7ffb8ca0 | 0x82c12000 | 163840 |
| vdrvroot.sys | \SystemRoot\system32\DRIVERS\vdrvroot.sys | 0x7ffb9008 | 0x892a8000 | 45056 |
| mup.sys | \SystemRoot\System32\Drivers\mup.sys | 0x7ffb90a8 | 0x89a16000 | 65536 |
| rdyboost.sys | \SystemRoot\System32\drivers\rdyboost.sys | 0x7ffb9120 | 0x899e9000 | 184320 |
| spldr.sys | \SystemRoot\System32\Drivers\spldr.sys | 0x7ffb91a0 | 0x899e1000 | 32768 |
| volsnap.sys | \SystemRoot\system32\DRIVERS\volsnap.sys | 0x7ffb9220 | 0x899a2000 | 258048 |
| vmstorfl.sys | \SystemRoot\system32\DRIVERS\vmstorfl.sys | 0x7ffb92a0 | 0x89999000 | 36864 |
| fwpkclnt.sys | \SystemRoot\System32\drivers\fwpkclnt.sys | 0x7ffb9320 | 0x89968000 | 200704 |
| tcpip.sys | \SystemRoot\System32\drivers\tcpip.sys | 0x7ffb93a0 | 0x8981f000 | 1347584 |
| ksecpkg.sys | \SystemRoot\System32\Drivers\ksecpkg.sys | 0x7ffb9420 | 0x89705000 | 151552 |
| NETIO.SYS | \SystemRoot\system32\drivers\NETIO.SYS | 0x7ffb94a0 | 0x896c7000 | 253952 |
| ndis.sys | \SystemRoot\system32\drivers\ndis.sys | 0x7ffb9520 | 0x89610000 | 749568 |
| Fs_Rec.sys | \SystemRoot\System32\Drivers\Fs_Rec.sys | 0x7ffb9598 | 0x89607000 | 36864 |
| pcw.sys | \SystemRoot\System32\drivers\pcw.sys | 0x7ffb9618 | 0x895f9000 | 57344 |
| VBoxGuest.sys | \SystemRoot\system32\DRIVERS\VBoxGuest.sys | 0x7ffb9690 | 0x895d7000 | 139264 |
| cng.sys | \SystemRoot\System32\Drivers\cng.sys | 0x7ffb9718 | 0x8957a000 | 380928 |
| ksecdd.sys | \SystemRoot\System32\Drivers\ksecdd.sys | 0x7ffb9790 | 0x89567000 | 77824 |
| msrpc.sys | \SystemRoot\System32\Drivers\msrpc.sys | 0x7ffb9810 | 0x8953c000 | 176128 |
| Ntfs.sys | \SystemRoot\System32\Drivers\Ntfs.sys | 0x7ffb9890 | 0x8940d000 | 1241088 |
| fileinfo.sys | \SystemRoot\system32\drivers\fileinfo.sys | 0x7ffb9908 | 0x893d0000 | 69632 |
| fltmgr.sys | \SystemRoot\system32\drivers\fltmgr.sys | 0x7ffb9988 | 0x8939c000 | 212992 |
| amdxata.sys | \SystemRoot\system32\DRIVERS\amdxata.sys | 0x7ffb9a08 | 0x89393000 | 36864 |
| msahci.sys | \SystemRoot\system32\DRIVERS\msahci.sys | 0x7ffb9a88 | 0x89389000 | 40960 |
| ataport.SYS | \SystemRoot\system32\DRIVERS\ataport.SYS | 0x7ffb9b08 | 0x89366000 | 143360 |
| atapi.sys | \SystemRoot\system32\DRIVERS\atapi.sys | 0x7ffb9b88 | 0x8935d000 | 36864 |
| mountmgr.sys | \SystemRoot\System32\drivers\mountmgr.sys | 0x7ffb9c08 | 0x89347000 | 90112 |
| PCIIDEX.SYS | \SystemRoot\system32\DRIVERS\PCIIDEX.SYS | 0x7ffb9c88 | 0x89339000 | 57344 |
| intelide.sys | \SystemRoot\system32\DRIVERS\intelide.sys | 0x7ffb9d08 | 0x89332000 | 28672 |
| volmgrx.sys | \SystemRoot\System32\drivers\volmgrx.sys | 0x7ffb9d88 | 0x892e7000 | 307200 |
| volmgr.sys | \SystemRoot\system32\DRIVERS\volmgr.sys | 0x7ffb9e08 | 0x892d7000 | 65536 |
| BATTC.SYS | \SystemRoot\system32\DRIVERS\BATTC.SYS | 0x7ffb9e88 | 0x892cc000 | 45056 |
| compbatt.sys | \SystemRoot\system32\DRIVERS\compbatt.sys | 0x7ffb9f08 | 0x892c4000 | 32768 |
| partmgr.sys | \SystemRoot\System32\drivers\partmgr.sys | 0x7ffb9f88 | 0x892b3000 | 69632 |
| hwpolicy.sys | \SystemRoot\System32\drivers\hwpolicy.sys | 0x7ffba008 | 0x89a26000 | 32768 |
| CLASSPNP.SYS | \SystemRoot\system32\DRIVERS\CLASSPNP.SYS | 0x7ffbaf10 | 0x89a3f000 | 151552 |
| disk.sys | \SystemRoot\system32\DRIVERS\disk.sys | 0x7ffbaf90 | 0x89a2e000 | 69632 |
| CPU | Index | Selector | Address | Module | Section |
|---|---|---|---|---|---|
| 0 | 0 | 0x8 | 0x82848570 | ntoskrnl.exe | .text |
| 0 | 1 | 0x8 | 0x82848700 | ntoskrnl.exe | .text |
| 0 | 2 | 0x58 | 0x0 | UNKNOWN | |
| 0 | 3 | 0x8 | 0x82848b70 | ntoskrnl.exe | .text |
| 0 | 4 | 0x8 | 0x82848cf8 | ntoskrnl.exe | .text |
| 0 | 5 | 0x8 | 0x82848e58 | ntoskrnl.exe | .text |
| 0 | 6 | 0x8 | 0x82848fcc | ntoskrnl.exe | .text |
| 0 | 7 | 0x8 | 0x828495c8 | ntoskrnl.exe | .text |
| 0 | 8 | 0x50 | 0x0 | UNKNOWN | |
| 0 | 9 | 0x8 | 0x82849a28 | ntoskrnl.exe | .text |
| 0 | 10 | 0x8 | 0x82849b4c | ntoskrnl.exe | .text |
| 0 | 11 | 0x8 | 0x82849c8c | ntoskrnl.exe | .text |
| 0 | 12 | 0x8 | 0x82849eec | ntoskrnl.exe | .text |
| 0 | 13 | 0x8 | 0x8284a1dc | ntoskrnl.exe | .text |
| 0 | 14 | 0x8 | 0x8284a88c | ntoskrnl.exe | .text |
| 0 | 15 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 16 | 0x8 | 0x8284ad64 | ntoskrnl.exe | .text |
| 0 | 17 | 0x8 | 0x8284aea4 | ntoskrnl.exe | .text |
| 0 | 18 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 19 | 0x8 | 0x8284b010 | ntoskrnl.exe | .text |
| 0 | 20 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 21 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 22 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 23 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 24 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 25 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 26 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 27 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 28 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 29 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 30 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 31 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 32 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 33 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 34 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 35 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 36 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 37 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 38 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 39 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 40 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 41 | 0x8 | 0x0 | UNKNOWN | |
| 0 | 42 | 0x8 | 0x82847bea | ntoskrnl.exe | .text |
| 0 | 43 | 0x8 | 0x82847d70 | ntoskrnl.exe | .text |
| 0 | 44 | 0x8 | 0x82847eac | ntoskrnl.exe | .text |
| 0 | 45 | 0x8 | 0x82848a48 | ntoskrnl.exe | .text |
| 0 | 46 | 0x8 | 0x8284759e | ntoskrnl.exe | .text |
| 0 | 47 | 0x8 | 0x8284ac40 | ntoskrnl.exe | .text |
| 0 | 48 | 0x8 | 0x82c23ca4 | hal.dll | .text |
| 0 | 49 | 0x8 | 0x8486a058 | UNKNOWN | |
| 0 | 50 | 0x8 | 0x82846c74 | ntoskrnl.exe | .text |
| 0 | 51 | 0x8 | 0x82846c7e | ntoskrnl.exe | .text |
| 0 | 52 | 0x8 | 0x82846c88 | ntoskrnl.exe | .text |
| 0 | 53 | 0x8 | 0x82846c92 | ntoskrnl.exe | .text |
| 0 | 54 | 0x8 | 0x82846c9c | ntoskrnl.exe | .text |
| 0 | 55 | 0x8 | 0x82846ca6 | ntoskrnl.exe | .text |
| 0 | 56 | 0x8 | 0x82c14c6c | hal.dll | .text |
| 0 | 57 | 0x8 | 0x8486acd8 | UNKNOWN | |
| 0 | 58 | 0x8 | 0x8486a2d8 | UNKNOWN | |
| 0 | 59 | 0x8 | 0x853cda58 | UNKNOWN | |
| 0 | 60 | 0x8 | 0x853cdcd8 | UNKNOWN | |
| 0 | 61 | 0x8 | 0x82846ce2 | ntoskrnl.exe | .text |
| 0 | 62 | 0x8 | 0x8486aa58 | UNKNOWN | |
| 0 | 63 | 0x8 | 0x8486a7d8 | UNKNOWN | |
| 0 | 64 | 0x8 | 0x82846d00 | ntoskrnl.exe | .text |
| 0 | 65 | 0x8 | 0x82846d0a | ntoskrnl.exe | .text |
| 0 | 66 | 0x8 | 0x82846d14 | ntoskrnl.exe | .text |
| 0 | 67 | 0x8 | 0x82846d1e | ntoskrnl.exe | .text |
| 0 | 68 | 0x8 | 0x82846d28 | ntoskrnl.exe | .text |
| 0 | 69 | 0x8 | 0x82846d32 | ntoskrnl.exe | .text |
| 0 | 70 | 0x8 | 0x82846d3c | ntoskrnl.exe | .text |
| 0 | 71 | 0x8 | 0x82846d46 | ntoskrnl.exe | .text |
| 0 | 72 | 0x8 | 0x82846d50 | ntoskrnl.exe | .text |
| 0 | 73 | 0x8 | 0x82846d5a | ntoskrnl.exe | .text |
| 0 | 74 | 0x8 | 0x82846d64 | ntoskrnl.exe | .text |
| 0 | 75 | 0x8 | 0x82846d6e | ntoskrnl.exe | .text |
| 0 | 76 | 0x8 | 0x82846d78 | ntoskrnl.exe | .text |
| 0 | 77 | 0x8 | 0x82846d82 | ntoskrnl.exe | .text |
| 0 | 78 | 0x8 | 0x82846d8c | ntoskrnl.exe | .text |
| 0 | 79 | 0x8 | 0x82846d96 | ntoskrnl.exe | .text |
| 0 | 80 | 0x8 | 0x82846da0 | ntoskrnl.exe | .text |
| 0 | 81 | 0x8 | 0x82846daa | ntoskrnl.exe | .text |
| 0 | 82 | 0x8 | 0x82846db4 | ntoskrnl.exe | .text |
| 0 | 83 | 0x8 | 0x82846dbe | ntoskrnl.exe | .text |
| 0 | 84 | 0x8 | 0x82846dc8 | ntoskrnl.exe | .text |
| 0 | 85 | 0x8 | 0x82846dd2 | ntoskrnl.exe | .text |
| 0 | 86 | 0x8 | 0x82846ddc | ntoskrnl.exe | .text |
| 0 | 87 | 0x8 | 0x82846de6 | ntoskrnl.exe | .text |
| 0 | 88 | 0x8 | 0x82846df0 | ntoskrnl.exe | .text |
| 0 | 89 | 0x8 | 0x82846dfa | ntoskrnl.exe | .text |
| 0 | 90 | 0x8 | 0x82846e04 | ntoskrnl.exe | .text |
| 0 | 91 | 0x8 | 0x82846e0e | ntoskrnl.exe | .text |
| 0 | 92 | 0x8 | 0x82846e18 | ntoskrnl.exe | .text |
| 0 | 93 | 0x8 | 0x82846e22 | ntoskrnl.exe | .text |
| 0 | 94 | 0x8 | 0x82846e2c | ntoskrnl.exe | .text |
| 0 | 95 | 0x8 | 0x82846e36 | ntoskrnl.exe | .text |
| 0 | 96 | 0x8 | 0x82846e40 | ntoskrnl.exe | .text |
| 0 | 97 | 0x8 | 0x82846e4a | ntoskrnl.exe | .text |
| 0 | 98 | 0x8 | 0x82846e54 | ntoskrnl.exe | .text |
| 0 | 99 | 0x8 | 0x82846e5e | ntoskrnl.exe | .text |
| 0 | 100 | 0x8 | 0x82846e68 | ntoskrnl.exe | .text |
| 0 | 101 | 0x8 | 0x82846e72 | ntoskrnl.exe | .text |
| 0 | 102 | 0x8 | 0x82846e7c | ntoskrnl.exe | .text |
| 0 | 103 | 0x8 | 0x82846e86 | ntoskrnl.exe | .text |
| 0 | 104 | 0x8 | 0x82846e90 | ntoskrnl.exe | .text |
| 0 | 105 | 0x8 | 0x82846e9a | ntoskrnl.exe | .text |
| 0 | 106 | 0x8 | 0x82846ea4 | ntoskrnl.exe | .text |
| 0 | 107 | 0x8 | 0x82846eae | ntoskrnl.exe | .text |
| 0 | 108 | 0x8 | 0x82846eb8 | ntoskrnl.exe | .text |
| 0 | 109 | 0x8 | 0x82846ec2 | ntoskrnl.exe | .text |
| 0 | 110 | 0x8 | 0x82846ecc | ntoskrnl.exe | .text |
| 0 | 111 | 0x8 | 0x82846ed6 | ntoskrnl.exe | .text |
| 0 | 112 | 0x8 | 0x82846ee0 | ntoskrnl.exe | .text |
| 0 | 113 | 0x8 | 0x82846eea | ntoskrnl.exe | .text |
| 0 | 114 | 0x8 | 0x82846ef4 | ntoskrnl.exe | .text |
| 0 | 115 | 0x8 | 0x82846efe | ntoskrnl.exe | .text |
| 0 | 116 | 0x8 | 0x82846f08 | ntoskrnl.exe | .text |
| 0 | 117 | 0x8 | 0x82846f12 | ntoskrnl.exe | .text |
| 0 | 118 | 0x8 | 0x82846f1c | ntoskrnl.exe | .text |
| 0 | 119 | 0x8 | 0x82846f26 | ntoskrnl.exe | .text |
| 0 | 120 | 0x8 | 0x82846f30 | ntoskrnl.exe | .text |
| 0 | 121 | 0x8 | 0x82846f3a | ntoskrnl.exe | .text |
| 0 | 122 | 0x8 | 0x82846f44 | ntoskrnl.exe | .text |
| 0 | 123 | 0x8 | 0x82846f4e | ntoskrnl.exe | .text |
| 0 | 124 | 0x8 | 0x82846f58 | ntoskrnl.exe | .text |
| 0 | 125 | 0x8 | 0x82846f62 | ntoskrnl.exe | .text |
| 0 | 126 | 0x8 | 0x82846f6c | ntoskrnl.exe | .text |
| 0 | 127 | 0x8 | 0x82846f76 | ntoskrnl.exe | .text |
| 0 | 128 | 0x8 | 0x82846f80 | ntoskrnl.exe | .text |
| 0 | 129 | 0x8 | 0x82846f8a | ntoskrnl.exe | .text |
| 0 | 130 | 0x8 | 0x82846f94 | ntoskrnl.exe | .text |
| 0 | 131 | 0x8 | 0x82846f9e | ntoskrnl.exe | .text |
| 0 | 132 | 0x8 | 0x82846fa8 | ntoskrnl.exe | .text |
| 0 | 133 | 0x8 | 0x82846fb2 | ntoskrnl.exe | .text |
| 0 | 134 | 0x8 | 0x82846fbc | ntoskrnl.exe | .text |
| 0 | 135 | 0x8 | 0x82846fc6 | ntoskrnl.exe | .text |
| 0 | 136 | 0x8 | 0x82846fd0 | ntoskrnl.exe | .text |
| 0 | 137 | 0x8 | 0x82846fda | ntoskrnl.exe | .text |
| 0 | 138 | 0x8 | 0x82846fe4 | ntoskrnl.exe | .text |
| 0 | 139 | 0x8 | 0x82846fee | ntoskrnl.exe | .text |
| 0 | 140 | 0x8 | 0x82846ff8 | ntoskrnl.exe | .text |
| 0 | 141 | 0x8 | 0x82847002 | ntoskrnl.exe | .text |
| 0 | 142 | 0x8 | 0x8284700c | ntoskrnl.exe | .text |
| 0 | 143 | 0x8 | 0x82847016 | ntoskrnl.exe | .text |
| 0 | 144 | 0x8 | 0x82847020 | ntoskrnl.exe | .text |
| 0 | 145 | 0x8 | 0x8284702a | ntoskrnl.exe | .text |
| 0 | 146 | 0x8 | 0x82847034 | ntoskrnl.exe | .text |
| 0 | 147 | 0x8 | 0x8284703e | ntoskrnl.exe | .text |
| 0 | 148 | 0x8 | 0x82847048 | ntoskrnl.exe | .text |
| 0 | 149 | 0x8 | 0x82847052 | ntoskrnl.exe | .text |
| 0 | 150 | 0x8 | 0x8284705c | ntoskrnl.exe | .text |
| 0 | 151 | 0x8 | 0x82847066 | ntoskrnl.exe | .text |
| 0 | 152 | 0x8 | 0x82847070 | ntoskrnl.exe | .text |
| 0 | 153 | 0x8 | 0x8284707a | ntoskrnl.exe | .text |
| 0 | 154 | 0x8 | 0x82847084 | ntoskrnl.exe | .text |
| 0 | 155 | 0x8 | 0x8284708e | ntoskrnl.exe | .text |
| 0 | 156 | 0x8 | 0x82847098 | ntoskrnl.exe | .text |
| 0 | 157 | 0x8 | 0x828470a2 | ntoskrnl.exe | .text |
| 0 | 158 | 0x8 | 0x828470ac | ntoskrnl.exe | .text |
| 0 | 159 | 0x8 | 0x828470b6 | ntoskrnl.exe | .text |
| 0 | 160 | 0x8 | 0x828470c0 | ntoskrnl.exe | .text |
| 0 | 161 | 0x8 | 0x828470ca | ntoskrnl.exe | .text |
| 0 | 162 | 0x8 | 0x828470d4 | ntoskrnl.exe | .text |
| 0 | 163 | 0x8 | 0x828470de | ntoskrnl.exe | .text |
| 0 | 164 | 0x8 | 0x828470e8 | ntoskrnl.exe | .text |
| 0 | 165 | 0x8 | 0x828470f2 | ntoskrnl.exe | .text |
| 0 | 166 | 0x8 | 0x828470fc | ntoskrnl.exe | .text |
| 0 | 167 | 0x8 | 0x82847106 | ntoskrnl.exe | .text |
| 0 | 168 | 0x8 | 0x82847110 | ntoskrnl.exe | .text |
| 0 | 169 | 0x8 | 0x8284711a | ntoskrnl.exe | .text |
| 0 | 170 | 0x8 | 0x82847124 | ntoskrnl.exe | .text |
| 0 | 171 | 0x8 | 0x8284712e | ntoskrnl.exe | .text |
| 0 | 172 | 0x8 | 0x82847138 | ntoskrnl.exe | .text |
| 0 | 173 | 0x8 | 0x82847142 | ntoskrnl.exe | .text |
| 0 | 174 | 0x8 | 0x8284714c | ntoskrnl.exe | .text |
| 0 | 175 | 0x8 | 0x82847156 | ntoskrnl.exe | .text |
| 0 | 176 | 0x8 | 0x82847160 | ntoskrnl.exe | .text |
| 0 | 177 | 0x8 | 0x8284716a | ntoskrnl.exe | .text |
| 0 | 178 | 0x8 | 0x82847174 | ntoskrnl.exe | .text |
| 0 | 179 | 0x8 | 0x8284717e | ntoskrnl.exe | .text |
| 0 | 180 | 0x8 | 0x82847188 | ntoskrnl.exe | .text |
| 0 | 181 | 0x8 | 0x82847192 | ntoskrnl.exe | .text |
| 0 | 182 | 0x8 | 0x8284719c | ntoskrnl.exe | .text |
| 0 | 183 | 0x8 | 0x828471a6 | ntoskrnl.exe | .text |
| 0 | 184 | 0x8 | 0x828471b0 | ntoskrnl.exe | .text |
| 0 | 185 | 0x8 | 0x828471ba | ntoskrnl.exe | .text |
| 0 | 186 | 0x8 | 0x828471c4 | ntoskrnl.exe | .text |
| 0 | 187 | 0x8 | 0x828471ce | ntoskrnl.exe | .text |
| 0 | 188 | 0x8 | 0x828471d8 | ntoskrnl.exe | .text |
| 0 | 189 | 0x8 | 0x828471e2 | ntoskrnl.exe | .text |
| 0 | 190 | 0x8 | 0x828471ec | ntoskrnl.exe | .text |
| 0 | 191 | 0x8 | 0x828471f6 | ntoskrnl.exe | .text |
| 0 | 192 | 0x8 | 0x82847200 | ntoskrnl.exe | .text |
| 0 | 193 | 0x8 | 0x8284720a | ntoskrnl.exe | .text |
| 0 | 194 | 0x8 | 0x82847214 | ntoskrnl.exe | .text |
| 0 | 195 | 0x8 | 0x8284721e | ntoskrnl.exe | .text |
| 0 | 196 | 0x8 | 0x82847228 | ntoskrnl.exe | .text |
| 0 | 197 | 0x8 | 0x82847232 | ntoskrnl.exe | .text |
| 0 | 198 | 0x8 | 0x8284723c | ntoskrnl.exe | .text |
| 0 | 199 | 0x8 | 0x82847246 | ntoskrnl.exe | .text |
| 0 | 200 | 0x8 | 0x82847250 | ntoskrnl.exe | .text |
| 0 | 201 | 0x8 | 0x8284725a | ntoskrnl.exe | .text |
| 0 | 202 | 0x8 | 0x82847264 | ntoskrnl.exe | .text |
| 0 | 203 | 0x8 | 0x8284726e | ntoskrnl.exe | .text |
| 0 | 204 | 0x8 | 0x82847278 | ntoskrnl.exe | .text |
| 0 | 205 | 0x8 | 0x82847282 | ntoskrnl.exe | .text |
| 0 | 206 | 0x8 | 0x8284728c | ntoskrnl.exe | .text |
| 0 | 207 | 0x8 | 0x82847296 | ntoskrnl.exe | .text |
| 0 | 208 | 0x8 | 0x828472a0 | ntoskrnl.exe | .text |
| 0 | 209 | 0x8 | 0x828472aa | ntoskrnl.exe | .text |
| 0 | 210 | 0x8 | 0x828472b4 | ntoskrnl.exe | .text |
| 0 | 211 | 0x8 | 0x828472be | ntoskrnl.exe | .text |
| 0 | 212 | 0x8 | 0x828472c8 | ntoskrnl.exe | .text |
| 0 | 213 | 0x8 | 0x828472d2 | ntoskrnl.exe | .text |
| 0 | 214 | 0x8 | 0x828472dc | ntoskrnl.exe | .text |
| 0 | 215 | 0x8 | 0x828472e6 | ntoskrnl.exe | .text |
| 0 | 216 | 0x8 | 0x828472f0 | ntoskrnl.exe | .text |
| 0 | 217 | 0x8 | 0x828472fa | ntoskrnl.exe | .text |
| 0 | 218 | 0x8 | 0x82847304 | ntoskrnl.exe | .text |
| 0 | 219 | 0x8 | 0x8284730e | ntoskrnl.exe | .text |
| 0 | 220 | 0x8 | 0x82847318 | ntoskrnl.exe | .text |
| 0 | 221 | 0x8 | 0x82847322 | ntoskrnl.exe | .text |
| 0 | 222 | 0x8 | 0x8284732c | ntoskrnl.exe | .text |
| 0 | 223 | 0x8 | 0x82847336 | ntoskrnl.exe | .text |
| 0 | 224 | 0x8 | 0x82847340 | ntoskrnl.exe | .text |
| 0 | 225 | 0x8 | 0x8284734a | ntoskrnl.exe | .text |
| 0 | 226 | 0x8 | 0x82847354 | ntoskrnl.exe | .text |
| 0 | 227 | 0x8 | 0x8284735e | ntoskrnl.exe | .text |
| 0 | 228 | 0x8 | 0x82847368 | ntoskrnl.exe | .text |
| 0 | 229 | 0x8 | 0x82847372 | ntoskrnl.exe | .text |
| 0 | 230 | 0x8 | 0x8284737c | ntoskrnl.exe | .text |
| 0 | 231 | 0x8 | 0x82847386 | ntoskrnl.exe | .text |
| 0 | 232 | 0x8 | 0x82847390 | ntoskrnl.exe | .text |
| 0 | 233 | 0x8 | 0x8284739a | ntoskrnl.exe | .text |
| 0 | 234 | 0x8 | 0x828473a4 | ntoskrnl.exe | .text |
| 0 | 235 | 0x8 | 0x828473ae | ntoskrnl.exe | .text |
| 0 | 236 | 0x8 | 0x828473b8 | ntoskrnl.exe | .text |
| 0 | 237 | 0x8 | 0x828473c2 | ntoskrnl.exe | .text |
| 0 | 238 | 0x8 | 0x828473c9 | ntoskrnl.exe | .text |
| 0 | 239 | 0x8 | 0x828473d0 | ntoskrnl.exe | .text |
| 0 | 240 | 0x8 | 0x828473d7 | ntoskrnl.exe | .text |
| 0 | 241 | 0x8 | 0x828473de | ntoskrnl.exe | .text |
| 0 | 242 | 0x8 | 0x828473e5 | ntoskrnl.exe | .text |
| 0 | 243 | 0x8 | 0x828473ec | ntoskrnl.exe | .text |
| 0 | 244 | 0x8 | 0x828473f3 | ntoskrnl.exe | .text |
| 0 | 245 | 0x8 | 0x828473fa | ntoskrnl.exe | .text |
| 0 | 246 | 0x8 | 0x82847401 | ntoskrnl.exe | .text |
| 0 | 247 | 0x8 | 0x82847408 | ntoskrnl.exe | .text |
| 0 | 248 | 0x8 | 0x8284740f | ntoskrnl.exe | .text |
| 0 | 249 | 0x8 | 0x82847416 | ntoskrnl.exe | .text |
| 0 | 250 | 0x8 | 0x8284741d | ntoskrnl.exe | .text |
| 0 | 251 | 0x8 | 0x82847424 | ntoskrnl.exe | .text |
| 0 | 252 | 0x8 | 0x8284742b | ntoskrnl.exe | .text |
| 0 | 253 | 0x8 | 0x82847432 | ntoskrnl.exe | .text |
| 0 | 254 | 0x8 | 0x82847439 | ntoskrnl.exe | .text |
| 0 | 255 | 0x8 | 0x82847440 | ntoskrnl.exe | .text |